基于自適應安全架構防范勒索病毒的探討

基金：教育部科技發展中心2021年中國高校產學研創新基金新一代信息技術創新項目（2021ITA11022）。

吳挺（1981.06-），男，廣東湛江，副教授，碩士，研究方向：計算機應用技術；

曾煌存（1979.04-），男，廣東興寧，講師，碩士，研究方向：網絡安全技術。

摘要：智慧校園的建設使得高校信息化的建設達到了新的高度，而信息化帶來的各種安全漏洞也更多。高校具有數據價值高而防御差的特點，往往成為勒索病毒的重點攻擊對象。本文從勒索病毒的安全分析入手，闡述勒索病毒的傳播途徑，并提出智慧校園中基于自適應安全架構防范，通過“事前防御”“事中響應”“事后溯源”三個階段的處置方式防范勒索病毒。

關鍵詞：智慧校園；自適應；安全；勒索病毒

近年來，隨著高校智慧校園的不斷建設，信息化教學與管理已成為高校新生態。勒索病毒對于全球的信息安全有著極大的危害，而伴隨著高校的信息化發展，勒索病毒入侵高校事件愈發頻繁，高校成為勒索病毒的重點攻擊目標之一。但高校對于勒索病毒的防范仍然較為薄弱，如今勒索病毒變種頻繁，單純依賴傳統“老三樣（防火墻、防毒墻、IPS）”無法適應復雜多變的安全環境。本文提出將自適應安全架構應用于高校智慧校園中，從“事前防御”“事中響應”“事后溯源”三個方面防范勒索病毒。

一、勒索病毒對于網絡安全的影響

（一）勒索病毒具有較高的安全威脅

2021中旬，美國最大的燃油管道商Colonial Pipeline受到網絡攻擊，盡管該公司主動采取一定的系統隔離措施，同時暫停了所有流水線作業，但公司仍然被迫關閉運營。由于Colonial Pipeline負責美國東岸多達45%的燃料供應，每天運送多達1億加侖的汽油、柴油、航空煤油與家用燃料油，造成的影響面較大。Colonial Pipeline證實了此次網絡攻擊事件涉及勒索軟件。由此可見，勒索病毒不僅會影響某個部門的數據安全，嚴重的將直接影響到國家網絡安全。

（二）高校勒索病毒入侵感染范圍愈來愈大

如今，高校被勒索病毒當做攻擊目標，且入侵感染范圍逐漸加大。在2019年5月左右，國內多所院校出現ONION勒索軟件感染情況。該病毒是勒索病毒Wallet的一類變種，中了該病毒后，計算機中的文件將采用高強度的加密算法加密，且難以破解，從而對個人數據造成嚴重影響。據了解，該病毒主要通過校園網傳播且傳播速度非常快，國內多所高校均發出安全通告。

二、勒索病毒的安全分析

本研究針對勒索病毒的樣本采用動靜相結合的方法進行安全分析。靜態分析采用IDA等反匯編工具對樣本進行分析，從樣本的程序結構大致推斷出樣本的功能；動態分析使用虛擬機、Wireshark網絡流量分析軟件、ProcessViewer進程查看器等工具讓樣本運行，并監視網絡流量、進程變化、文件變化等信息，從而確定樣本的動態行為特征。通過對WannaCry、GlobeImposter、GrandCrab、Symbiote、Surtr等勒索病毒的分析，總結出勒索病毒主要有以下幾種傳播方法。

（一）服務器入侵傳播

攻擊者可以通過系統或軟件漏洞等入侵服務器，或者通過RDP、SSH、VPN弱口令暴力破解遠程登錄服務器，這種傳播方法會導致安全軟件一般很難起作用。目前，管理員賬號、密碼被破解是服務器入侵的主要原因，攻擊者可以通過暴力破解使用弱密碼的賬號入侵服務器，或者利用病毒、木馬潛伏在管理員計算機中盜取密碼，甚至還可從其他渠道直接購買賬號、密碼來入侵服務器。

（二）利用漏洞自動傳播

勒索病毒的另一個重要傳播途徑是通過系統自身漏洞，如WannaCry勒索病毒就是利用“永恒之藍”漏洞進行傳播。漏洞利用與時間息息相關，如果攻擊者利用0day進行攻擊，那么相關的系統或者組件是極其危險的。但是在以往的勒索事件中，大多數攻擊者一般采用的是0day漏洞利用工具進行攻擊，如永恒之藍、RIG 、GrandSoft等漏洞攻擊包。這種傳播方法較難防范，需要用戶增強安全意識，及時更新有漏洞的軟件或安裝對應的補丁。

（三）軟件供應鏈傳播

軟件供應鏈傳播是通過滲入軟件供應商的網絡，使用惡意代碼進入影響交付給客戶的產品，導致源頭部分可能被劫持或篡改。然而，用戶和供應商之間是相互信任的關系，因此病毒繞過了傳統的安全檢查，達到攻擊的目的。

（四）郵件附件傳播

通過在郵件附件中夾帶有惡意代碼的腳本文件，編造與用戶日常工作相關的工作郵件，并誘惑用戶打開郵件中的附件，從而執行附件中的腳本，使勒索病毒得以釋放。這類傳播方法針對性較強，主要利用用戶普遍安全意識不高的漏洞，瞄準機構、企業個人用戶，再通過個人用戶影響局域網內的其他用戶，包括服務器。

（五）利用掛馬網頁傳播

攻擊者通過web網站的漏洞在網頁中植入木馬，當訪問者瀏覽帶有木馬病毒的網頁時，攻擊者利用IE或Flash等軟件的漏洞進行攻擊。這類勒索病毒偽裝性較高，普通用戶較難區別，在沒有安裝殺毒軟件等防范病毒的情況下，用戶往往中了病毒也不知情。

三、基于自適應安全架構防范智慧校園勒索病毒

本研究提出基于自適應安全架構防范和處置智慧校園中的勒索病毒，將勒索病毒攻擊事件分為事前、事中、事后三大防護階段，主要內容為“事前防御”“事中響應”“事后溯源”，其中，事前防御是解決方案的重點。當勒索病毒已經成功投遞并加密數據時，除非事前做過數據備份，否則以目前任何技術手段是無法解密加密數據的，只有交贖金從攻擊者獲取私鑰解密一種解決辦法。事中響應更多是在“事前防御”被突破后的應急響應。事后溯源更多是溯源補救工作，只有事前防御才能真正做到御“敵”于外。

三大防護階段內容如下：

事前防御：評估病毒感染風險；防病毒投遞途徑；安全防護防范病毒。

事中響應：限制病毒落地執行；安全服務應急處置。

事后溯源：病毒攻擊溯源定位；黑客組織完整畫像；病毒文件查殺取證。

（一）事前防御

1.評估病毒感染風險

（1）探測和封堵勒索病毒利用的服務和端口。勒索病毒傳播普遍依賴常用端口傳播，前期需全面梳理資產端口暴露面，主要有：TCP135、139、445、593、1025端口和UDP 135、137、138、445端口，一些流行病毒的后門端口（如TCP 2745、3127、6129 端口等），以及遠程服務訪問端TCP 3389等。學校可以使用防火墻主動禁用主機服務器和終端PC的端口開放，并在各區邊界添加明細端口封禁策略。若某些業務主機因業務關系無法端口封禁，用戶則需要記錄備注和重點標記，針對該業務主機提高防御優先級，實行重點安全加固措施，單獨制定威脅檢測策略。

（2）識別加固勒索病毒利用的高危漏洞。操作系統和應用軟件或多或少存在各種各樣的漏洞，隨著系統的老舊及軟件的增多，漏洞也會越來越多。也正是由于這些漏洞的存在，使得攻擊行為變得更加快速和高效。漏洞利用與時間息息相關，如果攻擊者利用0day進行攻擊，那么相關的系統或者組件是極其危險的，隨時都有遭受攻擊的風險。而使用漏洞掃描可以全面掃描和發現服務器主機存在漏洞，并及時打上補丁修補漏洞。

（3）發現阻止勒索攻擊賬號口令劫持。從主要勒索病毒家族傳播方式來看，口令劫持是目前常用的攻擊手段，而安全性較差的遠程桌面協議（Remote Desktop Protocol，RDP）是最常見的攻擊媒介。以RDP口令劫持為例，利用RDP攻擊更多是以賬號口令劫持后的合法遠程訪問，被利用攻擊階段很難發現異常。因此，針對RDP端口暴力破解密碼行為，學校可以強制要求計算機系統賬號密碼強度，同時，對服務器執行細致安全加固措施，如3389端口全面梳理核查及嚴禁、統計需要使用RDP的用戶數以及被訪問的服務器數量、完善堡壘機訪問策略及有關設備日志記錄審計等。

2.設防病毒投遞途徑

勒索攻擊利用APT攻擊手段達成目的，因此針對APT攻擊中各種病毒投遞途徑，學校需要制定有效應對防御措施，以達到先期發現并主動封禁攔截的目的。

（1）檢測并攔截黑客利用0day漏洞進行攻擊傳播。0Day漏洞攻擊通常作為黑客有力的攻擊方式，導致傳統檢測方式無法有效應對。因為該漏洞未知，所以沒有可用的補丁程序。0Day漏洞攻擊通常是APT攻擊者的強有力“武器”。異常不一定是威脅，但一般來說威脅一定有異常。0Day攻擊進行時都會表現出一些異常行為，如果學校能夠發現這些異常行為，就能發現威脅。

（2）檢測攔截利用網馬傳播。在入侵企業網站時，黑客需要獲得企業網絡的控制權，而他們通常的做法是獲得webshell，再以其他跳板進行后續的入侵行為。因此，學校可以通過使用Webshell專用檢測工具檢測校園網內是否存在Webshell，如果檢測出Webshell則進行攔截處理。

（3）檢測攔截利用釣魚郵件傳播。釣魚郵件的攻擊利用方式眾多，其中勒索病毒攻擊主要利用釣魚郵件突破嚴密防守的用戶網絡，并以此為跳板在后續攻擊時投遞勒索病毒；或者直接通過郵件附件投遞方式發送勒索病毒程序。面對釣魚郵件攻擊，學校可以通過部署郵件威脅系統，對釣魚郵件進行攔截，同時加強學校師生員工面對釣魚郵件時的安全意識。

3.安全防護防范病毒

加強終端及服務器的病毒防護。學校應當實施負責密碼策略，杜絕弱密碼；杜絕使用通用密碼管理所有機器；對終端及服務器安裝殺毒軟件并及時更新病毒庫，及時安裝各種漏洞補丁；開啟服務器日志收集功能，便于后續的追蹤溯源。

（1）實施網絡防護與安全監測。學校需要合理劃分內網的各個區域，并針對各個安全域之間設置不同級別的訪問控制權限。重要業務系統及核心數據庫應設置獨立的安全區域，并做好區域邊界的安全防御工作，嚴格限制重要區域的訪問權限，關閉Telnet、Snmp等不必要、不安全的服務。在內網架設IDS/IPS設備，可及時發現、阻斷內網的橫向移動設備，并在網絡內架設全流量記錄設備，以發現內網的橫向移動行為，為追蹤溯源提供支撐。

（2）應用系統防護及數據備份。學校需要對應用系統進行安全滲透測試與加固，以保障應用系統自身安全可控；及時備份業務系統及數據，定期檢查備份系統及數據的可用性；建立安全災備預案，一旦核心系統遭受攻擊，確保備份業務系統可以立即啟用；做好備份系統與主系統的安全隔離工作，避免主系統與備份系統同時受到攻擊，影響業務連續性。

（二）事中響應

APT投遞勒索病毒攻擊持續且隱蔽，當遇到緊急問題時，學校需要具備較強應變能力，以做出快速的應急響應處置，同時需要建立針對勒索病毒的專項應急響應體系，以遏制內部資產遭投毒。

1.限制病毒落地執行

當勒索病毒攻擊突破邊界進入網內，限制病毒落地執行將是有效地阻止勒索病毒達成攻擊目的的有效手段。若勒索病毒攻擊突破縱深防護，學校可以通過對重要文件、文件路徑進行權限控制，如禁止文件路徑的寫入、創建權限等，讓勒索病毒無法落地。

2.隔離被感染的服務器/主機

在確認服務器/主機感染勒索病毒后，學校應當立即隔離被感染服務器/主機，防止病毒繼續感染其他服務器/主機。隔離可采取以下手段：

關閉服務器/主機的無線網絡、藍牙連接等，禁用網卡；

拔掉服務器/主機上的所有外部存儲設備；

通過本地安全策略和修改登錄密碼等方式，對訪問網絡資源的權限進行嚴格地認證和控制。

3.排查業務系統

學校需要檢查核心業務系統是否遭到破壞、是否受到影響，并檢查備份系統是否也遭到加密。在確定核心業務系統及備份系統的受影響程度后，學校應當盡快與專業技術人員或安全從業人員取得聯系，系統性地排查勒索病毒的感染時間、傳播方法、感染種類等問題，從而制定完善的應對策略。

（三）事后溯源

首先，學校可以查看服務器/主機上保留的日志和樣本，通過日志判斷出勒索病毒可能通過哪種方法入侵服務器/主機，如果日志被刪除，就在服務器/主機上尋找相關的病毒樣本或可疑文件，再通過這些可疑文件判斷病毒的入侵途徑。其次，學校還可以借助專用的日志分析工具或聯系專業技術人員進行日志及樣本分析。最后，分析全流量記錄設備記錄的流量，對勒索病毒進行定位溯源、黑客組織畫像和病毒文件查殺取證。

在完成以上步驟后，如果服務器/主機上存在數據備份，學校可以通過還原備份數據的方式直接恢復業務；如果沒有數據備份，則根據相應的病毒采用相應的解密工具進行數據恢復；如果數據比較重要，亦可嘗試使用磁盤數據恢復手段恢復被刪除的文件，或者向第三方解密中介、安全公司尋求幫助。同時，學校應當

根據此次勒索病毒事件暴露出的安全問題進行安全防護，以避免下次再遭受勒索病毒攻擊。

四、結束語

勒索病毒對于全球的危害較大，特別是近年來，國內的高校處于智慧校園的建設過程中，信息化程度和信息價值較高，自然成了勒索病毒重點攻擊的對象。面對勒索病毒這種定向性的攻擊，學校僅僅依靠傳統的網絡防火墻、防病毒軟件是不足以防范的。而自適應安全架構通過“事前防御”“事中響應”“事后溯源”三個階段可以有效應對勒索病毒類的攻擊。

作者單位：吳挺 曾煌存 廣東省外語藝術職業學院

參" 考" 文" 獻

[1]王樂東，李孟君，熊偉.勒索病毒的機理分析與安全防御對策.網絡安全技術與應用，2017（08），46-47.

[2]萬子龍，勒索病毒攻擊原理及檢測方法研究.江西通信科技，2019（03），42-44.

[3]李澤慧，于志剛，等.基于ASA架構的勒索病毒防護模型研究.信息網絡安全.2020（S2），25-28.

[4]劉中強，于成麗.從Wannacry勒索病毒著手探究局域網內計算機病毒的安全防御策略.保密科學技術.2017（06），18-21.

[5]馬也，吳文燦，麥永浩.從WannaCry勒索病毒事件談高校網絡安全.網絡安全技術與應用.2018（04），66-68.