Windows服务器下勒索木马的防护与对策

本篇文章3668字，读完约9分钟

Windows服务器下勒索木马的防护与对策 去年的WannCry讹诈病毒引起了全社会对这种新型恶意软件的关注。自去年下半年以来，中国讹诈病毒攻击的焦点已经转移到各种服务器上，尤其是windows服务器。黑客使用弱密码和各种系统漏洞和软件漏洞远程渗透和毒害服务器，经常导致服务集群中的多个主机被感染。如果影响较小，服务将会中断，整个公司的运营将会受到严重影响。这已经成为影响企业安全的一个重大问题。 去年的WannCry讹诈病毒引起了全社会对这种新型恶意软件的关注。自去年下半年以来，中国讹诈病毒攻击的焦点已经转移到各种服务器上，尤其是windows服务器。黑客使用弱密码和各种系统漏洞和软件漏洞远程渗透和毒害服务器，经常导致服务集群中的多个主机被感染。如果影响较小，服务将会中断，整个公司的运营将会受到严重影响。这已经成为影响企业安全的一个重大问题。

趋势和截取数据

对服务器的猛烈攻击一直是服务器主机面临的一种主要安全风险。我们已统计了过去两个月爆破袭击的截获量。尽管从数据峰值来看上升不明显，但低谷一直在稳步上升，整体趋势仍有进一步改善的风险。

图1

自去年下半年(2017年)以来，服务器入侵已经成为勒索病毒传播的主流手段。到今年，通过入侵服务器植入的勒索病毒的流行已经成为所有勒索事件中的绝对主力，但是大规模个人电脑用户的招募有所改善。

与针对个人用户的讹诈攻击不同，通过入侵服务器植入讹诈病毒的方法受到服务器总数和植入方法的影响，导致整体感染水平不像个人电脑那样是成千上万倍。服务器的一般数据资产价值远远高于个人电脑。虽然感染的绝对数量没有个人电脑用户高，但感染造成的损失和影响范围远远高于个人电脑用户。此外，值得注意的是，虽然RDP弱密码入侵仍然是服务器的主要入侵方式，这主要是由于该方案的技术成熟及其在大多数Windows服务器系统中的广泛应用。然而，通过漏洞入侵系统也逐渐成为一种趋势:以当前流行的WebLogic漏洞入侵案例为例，利用WebLogic WLC形成漏洞，在服务器上实施渗透入侵。这主要是由于去年披露的WLC CVE-2017-10271的脆弱性。尽管去年10月Oracle修复了该漏洞，但由于服务器系统中运行的服务不容易中断，更新通常不及时，一些管理员不愿意更新。使黑客能够利用公开的漏洞攻击那些没有修复漏洞的服务。这种入侵方式将成为黑客入侵服务器和勒索毒品的新突破。也希望广大的服务器管理员能够关注它，及时关注安全趋势，修补软件漏洞。

受攻击用户分析

我们从行业分布、地理分布、系统、攻击原因等方面对今年被攻击用户的情况进行了统计分析，希望能帮助管理员提高安全防护效果。

1.行业分布

根据我们今年1月至4月的反馈统计分析，互联网、工业企业、外贸、批发零售和政府机构占总数的一半以上。其中，中小企业和中小互联网企业最为突出。企业在网络安全方面投资不足，产品销售和维护严重依赖互联网信息系统。他们只能选择在被招募后支付赎金，这进一步刺激了黑客攻击。由于广泛的外汇交易，外贸和批发零售行业也很容易成为海外黑客的目标。地方政府机构的服务器和网站一直是黑客攻击的重灾区。由于缺乏专业的安全操作和维护，漏洞未能及时修复，并被黑客攻击摧毁。

图2

2.地理分布

从地理分布来看，信息产业发达的广东省是第一，占总数的近一半。然后是江苏、浙江、山东、上海、北京等。区域分布主要与信息产业的发展有关。

图3:全国不同地区的感染分布

3.系统分布

从操作系统的分布来看，windows server 2008和windows server 2008 R2是感染了勒索病毒的服务器中的绝对主力。许多用户仍然使用旧版本的操作系统，甚至已经停止支持多年的Windows server 2003。

图4

4.攻击原因的分布

根据我们的统计，第一种类型的攻击是由弱密码引起的。远程桌面服务已经爆炸。黑客远程登录用户的电脑并毒害他们，占了一半以上。根据我们的现场调查和分析，许多远程爆炸不是在短时间内完成的，而是持续了一段时间。在攻击过程中，用户没有注意到任何异常，直到机器停机并中毒，然后用户查看日志，问题才被发现。

第二种情况是共享文件夹被加密，这相对来说是无害的。加密的是局域网中共享的文件。这种文件通常是由于局域网中的其他机器感染了勒索病毒。勒索病毒搜索局域网中的共享文件夹来查找和加密这些文件。共享文件的主机没有特洛伊木马。

此外，如前所述，软件漏洞和系统漏洞最近也被用来启动木马。例如，上面提到的WebLogic的反序列化漏洞和Apache Struts2的多个任意代码执行漏洞被用于远程中毒。对于没有补丁的机器来说，这些也是极其危险的！

图5

攻击源分析

我们长期以来一直在打击和追踪勒索木马家族。在战斗过程中，我们发现了它的一些特点，并做了一些分类说明。我们希望通过我们的共享，我们可以提高管理员处理此类攻击的能力。我们还将继续关注此类袭击的后续发展。

1.攻击者家庭

全球冒名顶替者、Crysis、BTCWare btcware是三种讹诈病毒，已成为最近服务器攻击的主流，占90%以上。这三种勒索病毒属于全球爆发类别。全球冒名顶替者多次袭击国内医疗和公共服务机构，国内外安全机构也多次发出家庭预警。

图6

2.工具的使用

通过分析对客户端的攻击，我们发现攻击者使用的工具主要分为以下几类:

1.第一种是扫描爆破工具。这些工具与密码字典合作，在主机上执行第一波嗅探攻击。在这一波扫描中，使用弱密码的机器很容易获胜。

2.第二类是各种密码嗅探工具，用于在第一波攻击后渗透到局域网中。这也是一个集群和许多主机经常同时被招募的原因。

3.第三个常用工具是流程管理工具。攻击者通常使用这些工具来结束安全保护软件过程、一些备份程序、数据库服务等。中毒时，以方便木马的传递和效果。对于这样的工具，我们也做了相应的保护。

4.第四种工具是长期驻留工具。常见的工具包括远程控制和后门程序。通过这种通常用于渗透阶段的工具实现对多个宿主的长期控制。

从常用工具中还可以看出，密码不安全、系统漏洞严重或软件漏洞严重的机器是最容易受到攻击的目标！攻击者通过这些工具的组合，以弱安全保护攻击此类服务器，渗透并长时间停留，这对于服务器集群来说也是相对致命的。存在漏洞的主机可能会导致整个集群崩溃。

从袭击时间来看，袭击大多发生在晚上19点至次日早上7点之间，占62%，而这段时间在中国一般是非工作时间。管理员通常只在第二天早上上班时才发现服务器故障。

图7

从留下的勒索信息的联系邮箱统计中，我们发现qq的邮箱和匿名邮箱cock.li是常用的。通过与攻击者的接触，我们发现大多数使用电子邮件与我们通信的攻击者都使用代理工具来访问电子邮件，ip地址遍布世界各地，并且攻击者本身具有很强的防范意识。用于交流的语言主要是英语，也有其他语言的接触，如俄语。

图8

攻击策略和防护方案

1.弱口令下的爆破保护

鉴于最常见的攻击方法，安全产品可以增强远程登录保护并拦截发现的可疑登录行为，从而提高此类攻击的阈值。同时，反黑加固还会提示使用弱密码的机器，提醒管理员尽快更改密码，同时，反黑加固也会被弱密码提醒攻击。

2.漏洞保护

通过系统或软件漏洞攻击服务器是仅次于RDP爆破的常见攻击方法。对于此类攻击，我们提供三维保护:漏洞修复、热点补丁和漏洞保护。当然，最安全的方法是安装系统补丁并修复漏洞。但是，对于一些无法修补或没有修补程序的计算机，我们的热修补技术和漏洞保护技术可以保护计算机免受漏洞攻击，并最大限度地保护服务器安全。

3.解密工具

我们都对市场上出现的敲诈病毒做了分析和研究。对于可以解密的部分，我们制作了一个一键解密工具，可以破解100多种讹诈病毒。我们还将继续跟踪勒索病毒的发展趋势，继续补充和完善这一工具。

4.反勒索服务

从2016年开始，我们推出了一项反勒索服务，旨在帮助已经被招募的用户，并帮助解决勒索病毒的后续问题。通过反勒索服务，我们帮助用户解密文件，帮助用户找到成功招聘的原因，检查机器中的安全隐患，并提供安全建议。到目前为止，我们已经为成千上万的用户提供了服务。对于以前联系过我们的成功用户，在解密工具发布后，我们还会将消息推给用户以协助解密。

摘要

根据目前情况分析，讹诈病毒仍将是未来企业和个人面临的最严重的安全问题。积极的保护措施可以大大避免病毒勒索带来的风险，事后的补救措施往往代价高昂。对于windows服务器，我们给出以下安全建议:

1.遵守安全规则，避免使用简单的密码。建议在组策略中打开密码策略，强制使用足够复杂的密码，并定期更改密码。

2.及时更新系统和使用的软件，尤其是在发布安全补丁时，更有必要及时安装更新。

3.做好权限控制，关闭不必要的服务和端口。对于非外部服务，避免暴露于公共网络并控制机器之间的访问权限。

4.对于重要数据的定期备份，可以选择离线备份。

5.安装专业的安全保护软件来保护系统安全。