842
技术社区[云栖]
高校勒索软件应对措施
2017年5月12日,英国、意大利、俄罗斯等全球多个国家爆发了WannaCry 、Onion蠕虫攻击。据BBC、CNN等媒体报道,恶意攻击者利用 NSA(美国国家安全局)泄露的 Windows 0day 利用工具对99个国家实施了超过75000次攻击。只有缴纳高额赎金(有的要比特币)才能解密资料和数据。
中国大批高校也出现感染情况,部分师生的电脑文件被病毒入侵成功感染,导致计算机内的文件全部被加密勒索,只有支付赎金后才能恢复。
根据阿里云5月12日晚的快速应急响应分析,发现这些恶意攻击者使用之前NSA泄露的黑客武器攻击的windows高危漏洞,把WannaCry 、Onion植入到受影响机器,导致校园网快速传播感染。
什么是比特币勒索蠕虫病毒?
这次攻击的始作俑者是一款名为“WannaCry”(中文名:想哭)的勒索病毒,带有加密功能,它利用 Windows 在 445 端口的安全漏洞潜入电脑并对多种文件类型加密并添加后缀(.onion)使用户无法打开,用户电脑存在文档被加密的情况,攻击者称需支付比特币解锁,如下图:
1.网络层问题:未划分安全区域隔离和访问控制,信息资产直接裸露在互联网
当前大部分学校基本是一个大的内网互通的局域网,不同的业务未划分安全区域。例如:学生管理系统、教务系统等都可以通过任何一台连入的设备访问,
同时实验室、多媒体教室、机器IP分配多为公网IP,如果学校未做相关的权限限制,所有机器直接暴露在外面,这次勒索攻击事件蠕虫、勒索软件的第一次组合,所以传播速度,影响面比以往任何时候都大。
2.门户等重要业务网站高危漏洞多,利用风险高
目前大部分高校的门户网站、邮件系统等其他关键业务系统由外包服务商提供,这些外包开发商开发的代码存在一些数量的web高危漏洞,恶意攻击人员可以利用这些高危漏洞入侵获取敏感数据或服务器权限,导致出现不同层度的数据丢失和被加密等安全事件,对学校形象和声誉造成一定的影响。
3.缺少安全情报监测和紧急手段
本次事件回顾看出,事件发生前部分国外用户已经受到影响, 如果对外部情报进行监控,及时预警并制定完善的应急预案,事前做好防护,建立了完善的应急响应预案,同时提高应急响应处置效率,受影响的面会大大降低。
4.安全技术运维管理环节缺失严重
从受害案例分析,学生管理系统、教务系统、邮件系统(均对公网开放)等重要教育系统仍在使用较老的版本的操作系统和软件,在日常运维管理工作由于未及时更新、升级软件、系统补丁、安装防病毒软件等安全加固措施缺失,导致恶意攻击者直接从公网利用高危漏洞,成功实现“低门槛、高成功率”的安全事件发生。
5.受众群体技术能力和安全意思薄弱
根据媒体报道的信息分析,本次受害的用户大部分为终端或IT技术能力水平较弱、安全意识较低的用户,而这些群体不论在专业技术和应急应对事情上,都缺少一定的判断和处置能力,如果具有较高的安全意识和安全技术能力,在事前做好安全防护工作,可以大大的降低此类事件的发生机率
二、止血措施
1.尽快使用防火墙策略或拔网线的方式断网或关机;
2.对已经在运行的服务器使用防火墙策略或交换机ACL控制445、137、139、3389高危端口;
3.对服务器或办公电脑尽快安装补丁;
安装MS17-010、MS10-061、CVE-2017-0146、CVE-2017-0147、MS14-068、MS09-050、MS08-067漏洞补丁,下载链接参见:https://help.aliyun.com/knowledge_detail/52638.html
4.尽快安装防病毒软件
目前微软自家的MSE防病毒软件可以防护,检测和保护机制,专门对付名为Ransom:Win32.WannaCrypt的新恶意软件,用户尽快启用MSE实时防护并升级到最新病毒库
三、安全建议
安全是一个持续对抗和建设的过程,需要在系统上线前就做好安全防护,我们建议从以下几方面进行加强。
1.强化网络区域规划、隔离和访问控制
精细化的网络管理是业务的第一道屏障。
对于大部分企业或校园网络而言, 网络安全架构是“一马平川”的,在业务块之前,很少有业务分区分段。但随着业务的增长和扩容,一旦发生入侵,影响面会是全局的。在这种情况下,通过有效的安全区域划分、访问控制和准入机制可以防止或减缓渗透范围,可以阻止不必要的人员进入业务环境。
我们强烈建议:
1. 根据业务属性和安全等级规划不同的安全区域,设计安全可靠的数据路由和访问路径;
2. 精细的梳理业务访问之间的关系,实施访问控制;
例如:
a.可以限制SSH、RDP等管理协议、FTP、Redis、MongoDB、Memcached、MySQL、MSSQL-Server、Oracle等数据相关服务的连接源IP进行访问控制,实现最小化访问范围,仅允许授信IP地址访问,并对出口网络行为实时分析和审计。
B.我们常用的数据库服务是不需要再互联网直接管理或访问的,可以通过配置入方向的访问控制策略防止数据库服务暴露在互联网上被黑客利用;
c.同时我们也可以配置更严格的内网访问控制策略,例如:在内网入方向配置仅允许内网某IP访问内网的某台数据库服务器。
通过以上对内外网的强访问控制,可以有效的为自身业务在网络入口加一把“锁”
2.扎实做好基础安全运行维护工作
制定并遵循实施IT软件安全配置,对操作系统(Windows、Linux)和软件(FTP、Apache、Nginx、Tomcat、Mysql、MS-Sql Server、Redis、MongdoDB、Mecached等服务)初始化安全加固,同时并定期核查其有效性;
· 为Windows操作系统云服务器安装防病毒软件,并定期更新病毒库;
· 确保定期更新补丁;
· 修改administrator默认名称,为登录账号配置强口令;
· 确保开启日志记录功能,并集中进行管理和审计分析;
· 确保合理的分配账号、授权和审计功能,例如:为服务器、RDS数据库建立不同权限账号并启用审计功能,如果有条件,可以实施类似堡垒机、VPN等更严格的访问策略。
· 确保实施强密码策略,并定期更新维护,对于所有操作行为严格记录并审计;
· 确保对所有业务关键点进行实时监控,当发现异常时,立即介入处理。
3.做好门户网站等关键业务的web安全防护
由于黑客会利用web网站高危漏洞,DNS域传送信息泄露等漏洞,从而入侵例如校园管理信息化系统,在线学习,云邮箱系统,甚至是至关重要的教务系统,建议学校自查或使用云盾Web应用防火墙防护高危漏洞被利用导致的数据被窃取、删除、学生成绩数据被改等入侵事件。
同时,web被入侵来带的问题还有页面被篡改,尤其是在十九大等这种重要时间段内,反攻黑客通常非常活跃,两会期间曾出现过好几起高校站点被黑挂上反共页面等政治敏感信息页面的入侵事件,给学校带来监管压力,使用云盾Web应用防火墙防篡改功能能有效解决页面被非法篡改的问题。
极端情况下,如果站点已经被入侵,黑客可能会植入webshell,挖矿程序,对外ddos后门等恶意程序,导致服务不可用,无响应,甚至是全盘数据被加密等严重后果,此时迫切需要云盾安骑士来进行漏洞检测,补丁管理,恶意程序和行为的发现和防御,有效降低入侵风险,增强安全事件发现能力。
4.建立安全事件应急响应流程和预案
在安全攻防动态的过程中,我们可能很难100%的防御住所有的安全事件,也就是说,我们要为可能突发的安全事件准备好应急策略,在安全事件发生后,要通过组织快速响应、标准化的应急响应流程、规范的事件处置规范来降低安全事件发生的损失。但普通高校或者组织基本没有配备专业的安全人员,不具备这种安全事件的响应能力,所以需要专业的安全人员进行协助处置,此时可以依赖于阿里云安全管家服务,提供安全基线加固,安全事件管理,漏洞管理,应急响应等全套安全服务,确保在事前事中事后具有强大的安全能力应对自如。
5.做好数据备份与恢复工作:备份,备份,再备份
可靠的数据备份可以将勒索软件带来的损失最小化,但同时也要对这些数据备份进行安全防护,避免被感染和损坏。
如果给出的答案是肯定了,那么备份恢复是企业的最后一道防线,在最坏的情况下,它将是企业最后的堡垒,而企业需要建立不定期的进行数据备份策略以确保在最坏的情况有备份措施。
如果企业的业务在云上,至少要备份两份数据:本地备份和异地备份。
在云上您可以像云下环境一样,使用不同方式的备份方法来解决数据备份问题,以确保在发生勒索事件后,尽可能的挽回损失。
附录:
实时感染趋势:https://intel.malwaretech.com/WannaCrypt.html
加密勒索软件防护方案: https://help.aliyun.com/knowledge_detail/48701.html
NSA工具利用漏洞应对方案:https://help.aliyun.com/knowledge_detail/52638.html
关于防范爆发的WanaCrypt0r 2.0和ONION勒索软件病毒预警:https://help.aliyun.com/noticelist/articleid/20359322.html
最后更新:2017-05-14 12:00:44