842
高校勒索軟件應對措施
2017年5月12日,英國、意大利、俄羅斯等全球多個國家爆發了WannaCry 、Onion蠕蟲攻擊。據BBC、CNN等媒體報道,惡意攻擊者利用 NSA(美國國家安全局)泄露的 Windows 0day 利用工具對99個國家實施了超過75000次攻擊。隻有繳納高額贖金(有的要比特幣)才能解密資料和數據。
中國大批高校也出現感染情況,部分師生的電腦文件被病毒入侵成功感染,導致計算機內的文件全部被加密勒索,隻有支付贖金後才能恢複。
根據阿裏雲5月12日晚的快速應急響應分析,發現這些惡意攻擊者使用之前NSA泄露的黑客武器攻擊的windows高危漏洞,把WannaCry 、Onion植入到受影響機器,導致校園網快速傳播感染。
什麼是比特幣勒索蠕蟲病毒?
這次攻擊的始作俑者是一款名為“WannaCry”(中文名:想哭)的勒索病毒,帶有加密功能,它利用 Windows 在 445 端口的安全漏洞潛入電腦並對多種文件類型加密並添加後綴(.onion)使用戶無法打開,用戶電腦存在文檔被加密的情況,攻擊者稱需支付比特幣解鎖,如下圖:
1.網絡層問題:未劃分安全區域隔離和訪問控製,信息資產直接裸露在互聯網
當前大部分學校基本是一個大的內網互通的局域網,不同的業務未劃分安全區域。例如:學生管理係統、教務係統等都可以通過任何一台連入的設備訪問,
同時實驗室、多媒體教室、機器IP分配多為公網IP,如果學校未做相關的權限限製,所有機器直接暴露在外麵,這次勒索攻擊事件蠕蟲、勒索軟件的第一次組合,所以傳播速度,影響麵比以往任何時候都大。
2.門戶等重要業務網站高危漏洞多,利用風險高
目前大部分高校的門戶網站、郵件係統等其他關鍵業務係統由外包服務商提供,這些外包開發商開發的代碼存在一些數量的web高危漏洞,惡意攻擊人員可以利用這些高危漏洞入侵獲取敏感數據或服務器權限,導致出現不同層度的數據丟失和被加密等安全事件,對學校形象和聲譽造成一定的影響。
3.缺少安全情報監測和緊急手段
本次事件回顧看出,事件發生前部分國外用戶已經受到影響, 如果對外部情報進行監控,及時預警並製定完善的應急預案,事前做好防護,建立了完善的應急響應預案,同時提高應急響應處置效率,受影響的麵會大大降低。
4.安全技術運維管理環節缺失嚴重
從受害案例分析,學生管理係統、教務係統、郵件係統(均對公網開放)等重要教育係統仍在使用較老的版本的操作係統和軟件,在日常運維管理工作由於未及時更新、升級軟件、係統補丁、安裝防病毒軟件等安全加固措施缺失,導致惡意攻擊者直接從公網利用高危漏洞,成功實現“低門檻、高成功率”的安全事件發生。
5.受眾群體技術能力和安全意思薄弱
根據媒體報道的信息分析,本次受害的用戶大部分為終端或IT技術能力水平較弱、安全意識較低的用戶,而這些群體不論在專業技術和應急應對事情上,都缺少一定的判斷和處置能力,如果具有較高的安全意識和安全技術能力,在事前做好安全防護工作,可以大大的降低此類事件的發生機率
二、止血措施
1.盡快使用防火牆策略或拔網線的方式斷網或關機;
2.對已經在運行的服務器使用防火牆策略或交換機ACL控製445、137、139、3389高危端口;
3.對服務器或辦公電腦盡快安裝補丁;
安裝MS17-010、MS10-061、CVE-2017-0146、CVE-2017-0147、MS14-068、MS09-050、MS08-067漏洞補丁,下載鏈接參見:https://help.aliyun.com/knowledge_detail/52638.html
4.盡快安裝防病毒軟件
目前微軟自家的MSE防病毒軟件可以防護,檢測和保護機製,專門對付名為Ransom:Win32.WannaCrypt的新惡意軟件,用戶盡快啟用MSE實時防護並升級到最新病毒庫
三、安全建議
安全是一個持續對抗和建設的過程,需要在係統上線前就做好安全防護,我們建議從以下幾方麵進行加強。
1.強化網絡區域規劃、隔離和訪問控製
精細化的網絡管理是業務的第一道屏障。
對於大部分企業或校園網絡而言, 網絡安全架構是“一馬平川”的,在業務塊之前,很少有業務分區分段。但隨著業務的增長和擴容,一旦發生入侵,影響麵會是全局的。在這種情況下,通過有效的安全區域劃分、訪問控製和準入機製可以防止或減緩滲透範圍,可以阻止不必要的人員進入業務環境。
我們強烈建議:
1. 根據業務屬性和安全等級規劃不同的安全區域,設計安全可靠的數據路由和訪問路徑;
2. 精細的梳理業務訪問之間的關係,實施訪問控製;
例如:
a.可以限製SSH、RDP等管理協議、FTP、Redis、MongoDB、Memcached、MySQL、MSSQL-Server、Oracle等數據相關服務的連接源IP進行訪問控製,實現最小化訪問範圍,僅允許授信IP地址訪問,並對出口網絡行為實時分析和審計。
B.我們常用的數據庫服務是不需要再互聯網直接管理或訪問的,可以通過配置入方向的訪問控製策略防止數據庫服務暴露在互聯網上被黑客利用;
c.同時我們也可以配置更嚴格的內網訪問控製策略,例如:在內網入方向配置僅允許內網某IP訪問內網的某台數據庫服務器。
通過以上對內外網的強訪問控製,可以有效的為自身業務在網絡入口加一把“鎖”
2.紮實做好基礎安全運行維護工作
製定並遵循實施IT軟件安全配置,對操作係統(Windows、Linux)和軟件(FTP、Apache、Nginx、Tomcat、Mysql、MS-Sql Server、Redis、MongdoDB、Mecached等服務)初始化安全加固,同時並定期核查其有效性;
· 為Windows操作係統雲服務器安裝防病毒軟件,並定期更新病毒庫;
· 確保定期更新補丁;
· 修改administrator默認名稱,為登錄賬號配置強口令;
· 確保開啟日誌記錄功能,並集中進行管理和審計分析;
· 確保合理的分配賬號、授權和審計功能,例如:為服務器、RDS數據庫建立不同權限賬號並啟用審計功能,如果有條件,可以實施類似堡壘機、VPN等更嚴格的訪問策略。
· 確保實施強密碼策略,並定期更新維護,對於所有操作行為嚴格記錄並審計;
· 確保對所有業務關鍵點進行實時監控,當發現異常時,立即介入處理。
3.做好門戶網站等關鍵業務的web安全防護
由於黑客會利用web網站高危漏洞,DNS域傳送信息泄露等漏洞,從而入侵例如校園管理信息化係統,在線學習,雲郵箱係統,甚至是至關重要的教務係統,建議學校自查或使用雲盾Web應用防火牆防護高危漏洞被利用導致的數據被竊取、刪除、學生成績數據被改等入侵事件。
同時,web被入侵來帶的問題還有頁麵被篡改,尤其是在十九大等這種重要時間段內,反攻黑客通常非常活躍,兩會期間曾出現過好幾起高校站點被黑掛上反共頁麵等政治敏感信息頁麵的入侵事件,給學校帶來監管壓力,使用雲盾Web應用防火牆防篡改功能能有效解決頁麵被非法篡改的問題。
極端情況下,如果站點已經被入侵,黑客可能會植入webshell,挖礦程序,對外ddos後門等惡意程序,導致服務不可用,無響應,甚至是全盤數據被加密等嚴重後果,此時迫切需要雲盾安騎士來進行漏洞檢測,補丁管理,惡意程序和行為的發現和防禦,有效降低入侵風險,增強安全事件發現能力。
4.建立安全事件應急響應流程和預案
在安全攻防動態的過程中,我們可能很難100%的防禦住所有的安全事件,也就是說,我們要為可能突發的安全事件準備好應急策略,在安全事件發生後,要通過組織快速響應、標準化的應急響應流程、規範的事件處置規範來降低安全事件發生的損失。但普通高校或者組織基本沒有配備專業的安全人員,不具備這種安全事件的響應能力,所以需要專業的安全人員進行協助處置,此時可以依賴於阿裏雲安全管家服務,提供安全基線加固,安全事件管理,漏洞管理,應急響應等全套安全服務,確保在事前事中事後具有強大的安全能力應對自如。
5.做好數據備份與恢複工作:備份,備份,再備份
可靠的數據備份可以將勒索軟件帶來的損失最小化,但同時也要對這些數據備份進行安全防護,避免被感染和損壞。
如果給出的答案是肯定了,那麼備份恢複是企業的最後一道防線,在最壞的情況下,它將是企業最後的堡壘,而企業需要建立不定期的進行數據備份策略以確保在最壞的情況有備份措施。
如果企業的業務在雲上,至少要備份兩份數據:本地備份和異地備份。
在雲上您可以像雲下環境一樣,使用不同方式的備份方法來解決數據備份問題,以確保在發生勒索事件後,盡可能的挽回損失。
附錄:
實時感染趨勢:https://intel.malwaretech.com/WannaCrypt.html
加密勒索軟件防護方案: https://help.aliyun.com/knowledge_detail/48701.html
NSA工具利用漏洞應對方案:https://help.aliyun.com/knowledge_detail/52638.html
關於防範爆發的WanaCrypt0r 2.0和ONION勒索軟件病毒預警:https://help.aliyun.com/noticelist/articleid/20359322.html
最後更新:2017-05-14 12:00:44