2018-2019-2第一期网络与信息安全简报
发布时间:2019-03-18 文章来源:信息服务中心 点击次数:
分析研判,此次勒索病毒主要利用 3389 端口对 Windows 服务器实施网络攻击。该病毒利用自带密码本破解服务器远程桌面服务(3389 端口)口令,破解后病毒程序对本地文档实施加密开展勒索活动,并以该主机为跳板感染内网其他服务器。
1、漏洞情况分析
Globelmposter勒索病毒首次出现发生在2017年5月,第二次出现在2017年11月。GlobeImposter2.0勒索病毒在今年2月份被发现,随后8月再次爆发。由于Globelmposter3.0采用RSA+AES算法加密,文件被加密后会被加上Ox4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES.txt”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。
(1)该病毒在被感染系统中生成如下自身拷贝文件:%AppDataLocal%\{Malware Name}.exe
(2)在系统目录中生成如下文件:
%SystemRoot\Users\Public\B26A340109A0081ADF57D63647533B8681DC0B8E159BE 052385ED4024E9CFFBC
(3)为达到自启动目的,该病毒添加如下注册表键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce BrowserUpdateCheck = %Application Data%\{Malware name}.exe
(4)被加密后的文件扩展名为:ALCO
(5)其会在加密文件路径下,生成如下勒索提示信息文件:how_to_back_files.html
(6)生成的勒索提示文件,主要包括受害者个人的ID序列号和勒索者的联系方式
2、漏洞影响范围
Windows 服务器
3、漏洞处置建议
由于Globelmposter3.0采用RSA+AES算法加密,目前该勒索病毒加密的文件暂无解密工具,请使用以下手段进行应急防范。
1. 不点击来源不明的邮件以及附件,尤其是如下扩展名的附件:.js, .vbs, .exe, .scr, or .bat;
2. 不要点击来源不明的邮件以及附件,可能包含密码抓取工具或其他木马病毒;
3. 更改默认administrator管理帐户,禁用GUEST来宾帐户;
4. 更改复杂密码,字母大小写,数字及符号组合的密码,不低于10位字符;不要使用电话号码,学号等纯数字作为账号密码;
5. 设置帐户锁定策略,在输入5次密码错误后禁止登录;
6. 安装杀毒软件,设置退出或更改需要密码,防止杀毒软件被恶意关闭;
7. 定期进行数据备份,如是云服务器,一定要做好快照;
8. 服务器尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,3389,135,139等;
9. 禁止系统自带远程协助服务,使用其它远程管理软件,例如:TeamViewer,并妥善保管好密码。
10. 及时更新windows补丁。
对中招勒索病毒的用户,包括Globelmposter2.0和3.0变种,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。
二、防御情况(来自WAF、防火墙)
1、告警分类统计报表
2、告警分类统计数据
上半月,根据我校WAF防护结果统计,主要的攻击威胁如下
事件类型 | 事件次数 |
HTTP协议违背 | 12855 |
HTTP访问控制事件 | 12618 |
COOKIE篡改 | 7534 |
资源盗链 | 3378 |
WEB构件漏洞攻击 | 2013 |
爬虫事件 | 1906 |
SQL注入攻击 | 997 |
WEB服务器漏洞攻击 | 84 |
XPATH注入攻击 | 55 |
非法下载 | 43 |
总计 | 41483 |
1)HTTP协议违背:共拦截12855次;
2)HTTP访问控制事件,共拦截12618次。
3)Cookie篡改,共拦截7534次;
4)资源盗链:共拦截3378次;
5)WEB构件漏洞攻击,共拦截2013次;
3、防火墙黑名单
根据WAF、防火墙的防护情况,针对频繁次数攻击威胁的公网IP进行拉黑处理,03月份上半月共拉黑地址20个。
三、上半月病毒动态分析
根据国家互联网应急中心网络病毒活动情况的报告,上半月境内感染网络病毒的主机数量约为46.3万个。
上半月 CNCERT 监测发现境内被篡改网站数量为1300个; 境内被植入后门的网站数量为1074个;针对境内网站的仿冒页面数量为3218个。
四、建议防范措施
根据我校03月份上半月整体网络与信息安全情况及外部网络威胁情况,针对本次Globelmposter勒索病毒,用户应尽可能加强计算机远程桌面的安全防护,通过修改远程桌面默认3389端口规避病毒入侵。同时提升系统登录密码的复杂度。