勒索病毒攻击事件漏洞分析及应对防护策略
2019-12-01赵佩
文/赵佩
在两年之前,一种名为Wanna Decryptor的勒索病毒在全球爆发,其中有近百的国家中的高校和政府以及医院还有个人的计算机都受到了感染,尤其是大部分的医院情况最为严重,因为医院具有着社会中各个阶层人员的信息,所以这也是不法分子进行勒索的主要目标。勒索病毒不仅对用户个人的文件去恶意的加密,而且还用解密这样的行为去索要赎金,如果不能解密那么就需要放弃大量重要信息去重做系统,所以引发了全球性的安全危机。勒索病毒的危害与攻击不会立刻停止,所以在未来计算机网络安全的处置和防范会面临着更大的挑战。
1 勒索病毒的特征及原理分析
勒索病毒主要就是通过对用户系统加锁或是对用户数据文件进行加密等方式,让用户的系统资源或是文件没有办法去正常的使用,然后向用户去实施勒索病毒的植入。
针对前几年发生的Wanna Decryptor勒索病毒事件来说,这样的病毒不仅具有一般勒索病毒的特征,而且还具备很强的漏洞利用和蠕虫传播等特征,根据勒索软件模块和蠕虫模块以及永恒之蓝模块这三个功能结构所组成。其中使用永恒之蓝Server Message Block漏洞攻击工具,对局域网开放 445 文件共享端口的 Windows 用户或对内网进行扫描的同时穿透网络边界进入内部,如果这个用户的操作系统没有安装相关的补丁,那么勒索病毒就会利用Server Message Block服务漏洞将恶意代码进行植入。把病毒传播到电脑上,而且为了可以继续扩大传播面还会搜索局域网内其它存在同样漏洞的设备,最终通过这样的方式来实现病毒的快速感染与传播。
2 漏洞分析和勒索病毒的应急处理
发生勒索病毒攻击事件后,需要对服务器的漏洞和网络架构以及相关危险因素去进行对比和排查,综合的去分析其中所存在的不足。由于受到勒索病毒攻击事件,所以现阶段大部分政府及医院都对防火墙的策略进行了全面的调整,外网访问隔离区区域的服务端口只开放指定和预知的,如445或是139这样的端口都不会开放。
服务器将相关的补丁进行升级的同时安装正版的杀毒软件进行杀毒,其中360杀毒软件是现阶段使用最多的一款杀毒软件。执行防毒策略的时候内网的病毒库实时更新,唯一开放的3389端口主要的作用就是远程维护。
第三方杀毒软件和作系统的本地防火墙都需要去再次对端口配置进行检查,及时更新系统的补丁包并进行补丁加固,服务器口令更换的同时口令强度也要不断加大,把常用的文件共享端口进行关闭。同时在应急处理的时候还需要将服务器的数据进行备份,定期执行数据备份制度的同时把服务器的端口完全封堵,并有效的限制内外网的访问和加强内外网的防护。
3 针对勒索病毒的攻击医院及企业的安全防护
对于勒索病毒的防护,相关医院的网络管理人员需要做到以下几点:员工安全意识方面的培训要不断的加强,员工在工作的时候不要随便的打开疑邮件中的附件;对所有的系统与设备进行加固,不仅是电脑的 Windows 系统,比如医院日常使用的邮件服务器和安卓在内的系统都应该去进行加固保护;应用程序与操作系统上所存在的最新漏洞去进行实时的更新;相关的安全防护产品,需要确保都更新到了最新的特征代码库和版本;安全防护产品上的恶意程序行为的检测功能和未知威胁的检测功能都需要开启;对于医院来说,其中比较重要的信息数据和重要的文件都需要定期的进行备份,在存放的时候也需要去脱机存放。
勒索病毒从发动到感染再到发作和最后的勒索这一连串的动态行为中,所具有的破坏性十分强,造成的损失也不能弥补,也极大的反映出传统反病毒天生的滞后性和平时在对信息安全进行维护时思路的狭窄。因此为了可以更好的防范勒索病毒,那么就需要创新性的在网络安全防护与信息安全防护的策略上使用“重心下放、关口前移”这样的科学防控方法。
对于“重心下放”来说需要做的就是从病毒的利用漏洞进行分析,在防护的手段上不应该只是局限在一个防护边界上,其重心应该放到培养员工的安全意识以及数据备份意识和对终端安全的使用上。而对于“关口前移”来说需要做好相关的预防预测,在防控勒索病毒上响应检测。
针对于医院来说,其中的信息科或是信息安全部门需要对勒索病毒的发展态势去继续观察与分析,防护的方案及措施可以随时的进行调整,并不断的对下属单位可以做好网络设备和终端计算机的修补及防护工作进行督促。对所有的终端计算机进行安全排查的时候使用封堵风险端口和打补丁等措施来对存在风险的计算机进行补救,封堵端口不成功或是更新补丁失败等不符合要求的终端计算机,还需要采用断网的措施,来禁止其接入医院的网络。
4 结束语
攻击和防御在信息安全的领域中,一直都是一个不变的话题,互联网给我们人类带来了极大的便利,但是在给我们带来便利的同时网络安全方面的风险也在不断的加大。多次的勒索病毒爆发也时刻的提醒着我们需要不断的对其进行关注并研究,对于医院的信息科来说,也要通过实例进行总结,以此来构建一个超强的安全防范意识和安全稳定的网络运行环境。