碟中谍——新勒索病毒攻击预警

作者:mrlian | 国内 2018/09/03 22:22:58 1081
勒索病毒
文章来源:https://mp.weixin.qq.com/s/IGO5_rBxRUsTh_RBlLQ7Cg

 2018年9月2日,山东部分地区不动产登记系统突发勒索病毒事件,山东省国土资源专网受到影响,除了烟台市以外,还有其他地区同时收到了勒索病毒的攻击。
     
 根据通告的情况可以得知,不动产登记业务无法正常办理,这种情况应该是核心数据库被加密了。至于为什么没有及时恢复应用,原因不明,有两点猜测,可能是等待进一步排查,将所有病毒及安全隐患清理完毕才会正式上线;另一可能数据库没有备份或者备份数据库也被加密,造成暂时无法正常使用。
    此次勒索病毒对烟台市不动产登记业务造成了很严重的影响,导致全市不动产登记业务无法正常开展,影响了几乎全市的人民及相关法人组织,对他们的权益造成了特别严重损害,如果不动产登记系统长时间无法恢复或者最终数据产生丢失,将会对社会秩序造成严重损害。按照等保定级指南(GB/T 22240—2008),省及地级市的不动产登记系统应当定为三级系统,按照等保三级的相关要求进行安全保护。

                            
    此次勒索病毒在国土资源专网上爆发,也就是不少人认为安全的内网。网络安全翻译成英文有两种——Cyber Security和Network Security,这两者恰恰表达了网络安全是包括了外网边界安全和内网安全,内网不代表绝对的安全,也需要及时的开展网络安全防护的相关工作。
目前不动产登记系统是全国联网的,山东此次爆发,不排除有可能会扩展到全国各地的不动产系统,这将是一个灾难。
       
                                                Globeimposter家族勒索界面

    据悉此次攻击所用病毒为GlobeImposter3.0,今年8月份首次发现,其攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,并且在进入内网后会进行多种方法获取登陆凭据并在内网横向传播,其加密的后缀名也不断变化,有:.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE、.ALC0、.ALC02、.ALC03、.RESERVE等。Globelmposter3.0采用RSA+AES算法进行标准加密,在没有私钥的情况下很难进行破解,所以存在以下问题的单位需要引起重视。
1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在公网上的单位。
2. 内网Windows终端、服务器使用相同或者少数几组口令。
3. Windows服务器、终端未部署或未及时更新安全加固和杀毒软件。
紧急处置方案
1、对于感染的服务器下线隔离。
2、对于未感染服务器:
1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。
2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。
3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
 后续跟进方案
 1)对于已下线隔离中招服务器,联系专业技术服务机构进行日志及样本分析。
2)使用网络安全模式下载病毒专杀软件删除GlobeImposter病毒。
3)利用计算机系统还原功能,还原系统到前一个安全点,再利用病毒专杀软件进行查杀,删除剩余的GlobeImposter病毒文件(仅用于设置了还原点的系统,如未设置还原点建议重装纯净系统)。
注:Globeimposter专杀工具(仅供参考):https://www.malwarebytes.com/products/
服务器、终端防护
1.  所有服务器、终端应强行实施复杂密码策略,杜绝弱口令;
2.  杜绝使用通用密码管理所有机器;
3.  安装杀毒软件、终端安全管理软件并及时更新病毒库;
4.  及时安装漏洞补丁;
5.  服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础。
网络防护与安全监测
1. 对内网安全域进行合理划分。各个安全域之间限制严格的 ACL,限制横向移动的范围。
2. 重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。
3. 在网络内架设 IDS/IPS 设备,及时发现、阻断内网的横向移动行为。
4. 在网络内架设全流量记录设备,以及发现内网的横向移动行为,并为追踪溯源提供良好的基础。
应用系统防护及数据备份
1. 应用系统层面,需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控。
2. 对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性。
3. 建立安全灾备预案,一但核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,辟免主系统和备份系统同时被攻击,影响业务连续性。

推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室