勒索病毒攻擊事件漏洞分析及應(yīng)對防護(hù)策略

文/趙佩

在兩年之前，一種名為Wanna Decryptor的勒索病毒在全球爆發(fā)，其中有近百的國家中的高校和政府以及醫(yī)院還有個(gè)人的計(jì)算機(jī)都受到了感染，尤其是大部分的醫(yī)院情況最為嚴(yán)重，因?yàn)獒t(yī)院具有著社會(huì)中各個(gè)階層人員的信息，所以這也是不法分子進(jìn)行勒索的主要目標(biāo)。勒索病毒不僅對用戶個(gè)人的文件去惡意的加密，而且還用解密這樣的行為去索要贖金，如果不能解密那么就需要放棄大量重要信息去重做系統(tǒng)，所以引發(fā)了全球性的安全危機(jī)。勒索病毒的危害與攻擊不會(huì)立刻停止，所以在未來計(jì)算機(jī)網(wǎng)絡(luò)安全的處置和防范會(huì)面臨著更大的挑戰(zhàn)。

1 勒索病毒的特征及原理分析

勒索病毒主要就是通過對用戶系統(tǒng)加鎖或是對用戶數(shù)據(jù)文件進(jìn)行加密等方式，讓用戶的系統(tǒng)資源或是文件沒有辦法去正常的使用，然后向用戶去實(shí)施勒索病毒的植入。

針對前幾年發(fā)生的Wanna Decryptor勒索病毒事件來說，這樣的病毒不僅具有一般勒索病毒的特征，而且還具備很強(qiáng)的漏洞利用和蠕蟲傳播等特征，根據(jù)勒索軟件模塊和蠕蟲模塊以及永恒之藍(lán)模塊這三個(gè)功能結(jié)構(gòu)所組成。其中使用永恒之藍(lán)Server Message Block漏洞攻擊工具，對局域網(wǎng)開放 445 文件共享端口的 Windows 用戶或?qū)?nèi)網(wǎng)進(jìn)行掃描的同時(shí)穿透網(wǎng)絡(luò)邊界進(jìn)入內(nèi)部，如果這個(gè)用戶的操作系統(tǒng)沒有安裝相關(guān)的補(bǔ)丁，那么勒索病毒就會(huì)利用Server Message Block服務(wù)漏洞將惡意代碼進(jìn)行植入。把病毒傳播到電腦上，而且為了可以繼續(xù)擴(kuò)大傳播面還會(huì)搜索局域網(wǎng)內(nèi)其它存在同樣漏洞的設(shè)備，最終通過這樣的方式來實(shí)現(xiàn)病毒的快速感染與傳播。

2 漏洞分析和勒索病毒的應(yīng)急處理

發(fā)生勒索病毒攻擊事件后，需要對服務(wù)器的漏洞和網(wǎng)絡(luò)架構(gòu)以及相關(guān)危險(xiǎn)因素去進(jìn)行對比和排查，綜合的去分析其中所存在的不足。由于受到勒索病毒攻擊事件，所以現(xiàn)階段大部分政府及醫(yī)院都對防火墻的策略進(jìn)行了全面的調(diào)整，外網(wǎng)訪問隔離區(qū)區(qū)域的服務(wù)端口只開放指定和預(yù)知的，如445或是139這樣的端口都不會(huì)開放。

服務(wù)器將相關(guān)的補(bǔ)丁進(jìn)行升級(jí)的同時(shí)安裝正版的殺毒軟件進(jìn)行殺毒，其中360殺毒軟件是現(xiàn)階段使用最多的一款殺毒軟件。執(zhí)行防毒策略的時(shí)候內(nèi)網(wǎng)的病毒庫實(shí)時(shí)更新，唯一開放的3389端口主要的作用就是遠(yuǎn)程維護(hù)。

第三方殺毒軟件和作系統(tǒng)的本地防火墻都需要去再次對端口配置進(jìn)行檢查，及時(shí)更新系統(tǒng)的補(bǔ)丁包并進(jìn)行補(bǔ)丁加固，服務(wù)器口令更換的同時(shí)口令強(qiáng)度也要不斷加大，把常用的文件共享端口進(jìn)行關(guān)閉。同時(shí)在應(yīng)急處理的時(shí)候還需要將服務(wù)器的數(shù)據(jù)進(jìn)行備份，定期執(zhí)行數(shù)據(jù)備份制度的同時(shí)把服務(wù)器的端口完全封堵，并有效的限制內(nèi)外網(wǎng)的訪問和加強(qiáng)內(nèi)外網(wǎng)的防護(hù)。

3 針對勒索病毒的攻擊醫(yī)院及企業(yè)的安全防護(hù)

對于勒索病毒的防護(hù)，相關(guān)醫(yī)院的網(wǎng)絡(luò)管理人員需要做到以下幾點(diǎn)：員工安全意識(shí)方面的培訓(xùn)要不斷的加強(qiáng)，員工在工作的時(shí)候不要隨便的打開疑郵件中的附件；對所有的系統(tǒng)與設(shè)備進(jìn)行加固，不僅是電腦的 Windows 系統(tǒng)，比如醫(yī)院日常使用的郵件服務(wù)器和安卓在內(nèi)的系統(tǒng)都應(yīng)該去進(jìn)行加固保護(hù)；應(yīng)用程序與操作系統(tǒng)上所存在的最新漏洞去進(jìn)行實(shí)時(shí)的更新；相關(guān)的安全防護(hù)產(chǎn)品，需要確保都更新到了最新的特征代碼庫和版本；安全防護(hù)產(chǎn)品上的惡意程序行為的檢測功能和未知威脅的檢測功能都需要開啟；對于醫(yī)院來說，其中比較重要的信息數(shù)據(jù)和重要的文件都需要定期的進(jìn)行備份，在存放的時(shí)候也需要去脫機(jī)存放。

勒索病毒從發(fā)動(dòng)到感染再到發(fā)作和最后的勒索這一連串的動(dòng)態(tài)行為中，所具有的破壞性十分強(qiáng)，造成的損失也不能彌補(bǔ)，也極大的反映出傳統(tǒng)反病毒天生的滯后性和平時(shí)在對信息安全進(jìn)行維護(hù)時(shí)思路的狹窄。因此為了可以更好的防范勒索病毒，那么就需要?jiǎng)?chuàng)新性的在網(wǎng)絡(luò)安全防護(hù)與信息安全防護(hù)的策略上使用“重心下放、關(guān)口前移”這樣的科學(xué)防控方法。

對于“重心下放”來說需要做的就是從病毒的利用漏洞進(jìn)行分析，在防護(hù)的手段上不應(yīng)該只是局限在一個(gè)防護(hù)邊界上，其重心應(yīng)該放到培養(yǎng)員工的安全意識(shí)以及數(shù)據(jù)備份意識(shí)和對終端安全的使用上。而對于“關(guān)口前移”來說需要做好相關(guān)的預(yù)防預(yù)測，在防控勒索病毒上響應(yīng)檢測。

針對于醫(yī)院來說，其中的信息科或是信息安全部門需要對勒索病毒的發(fā)展態(tài)勢去繼續(xù)觀察與分析，防護(hù)的方案及措施可以隨時(shí)的進(jìn)行調(diào)整，并不斷的對下屬單位可以做好網(wǎng)絡(luò)設(shè)備和終端計(jì)算機(jī)的修補(bǔ)及防護(hù)工作進(jìn)行督促。對所有的終端計(jì)算機(jī)進(jìn)行安全排查的時(shí)候使用封堵風(fēng)險(xiǎn)端口和打補(bǔ)丁等措施來對存在風(fēng)險(xiǎn)的計(jì)算機(jī)進(jìn)行補(bǔ)救，封堵端口不成功或是更新補(bǔ)丁失敗等不符合要求的終端計(jì)算機(jī)，還需要采用斷網(wǎng)的措施，來禁止其接入醫(yī)院的網(wǎng)絡(luò)。

4 結(jié)束語

攻擊和防御在信息安全的領(lǐng)域中，一直都是一個(gè)不變的話題，互聯(lián)網(wǎng)給我們?nèi)祟悗砹藰O大的便利，但是在給我們帶來便利的同時(shí)網(wǎng)絡(luò)安全方面的風(fēng)險(xiǎn)也在不斷的加大。多次的勒索病毒爆發(fā)也時(shí)刻的提醒著我們需要不斷的對其進(jìn)行關(guān)注并研究，對于醫(yī)院的信息科來說，也要通過實(shí)例進(jìn)行總結(jié)，以此來構(gòu)建一個(gè)超強(qiáng)的安全防范意識(shí)和安全穩(wěn)定的網(wǎng)絡(luò)運(yùn)行環(huán)境。