新型勒索病毒的整体安全检测防护解决方案V2.0

新型勒索病毒的整体安全检测防护解决方案

一．事件概况

●行业内网爆发勒索病毒变种

今年2月份起，医院、政府等行业爆发大规模信息勒索病毒感染事件，包括GandCrab V5.2、Globelmposter V3.0等，受影响的系统和数据库文件被加密勒索。黑客主要是通过钓鱼邮件、漏洞利用、恶意程序捆绑等方式进入内部网络，之后通过SMB漏洞攻击、RDP（windows系统远程桌面协议）口令爆破等形式大规模感染整个网络，导致终端、业务系统、数据库等被加密勒索，全国大部分省份相关单位都受到影响。

●新型变种Globelmposter V3.0

Globelmposter勒索病毒的安全威胁热度一直居高不下。本次爆发的Globelmposter V3.0勒索病毒变种攻击手法非常丰富，可以通过社会工程、RDP爆破、恶意软件捆绑等方式进行传播其加密文件为*4444扩展名，采用RSA2048算法加密文件，目前该病毒样本加密的文件暂无解密工具，在被加密的目录下生成HOW_TO_BACK_FILES的txt文件，显示受害者的个人ID 序列号及黑客的联系方式等。

●新型变种GandCrab V5.2

GandCrab 勒索病毒变种可绕过杀毒软件的检测，通过永恒之蓝MS17-010漏洞、共享文件服务、远程桌面服务（RDP）弱口令等方式在内网进行传播，随机生成后缀名对系统重要数据和文件进行加密，目前暂无加密工具

二．由勒索病毒反思网络安全建设

勒索病毒并非APT攻击，仅仅是病毒攻击行为，并不是不可防御的。并且，微软在17年就已经发布了SMB 相关漏洞的补丁，用户有足够的时间做好预防工作，为什么还有大量用户受影响？并且其中还包括一些行业的与互联网隔离的专网，除了在口令安全、高风险端口禁止对外开放等方面的安全意识需要提升之外，主要的原因还有以下几点：

1）大量用户缺乏全过程保护的安全体系

这起事件并非APT攻击或0DAY攻击，大部分用户的安全建设仅仅是在事中堆叠防御设备，缺乏事前风险预知的能力，使其没有提前部署好安全防护手段；在威胁爆发后，又没有持续检测和响应的能力，使得这些客户在事件爆发前没有预防手段、爆发中没有防御措施、爆发后没有及时检测和解决问题的办法。

2）忽视了内部局域网、专网和数据中心的安全防护

经过这段时间的响应，我们发现很多客户的威胁是与互联网相对隔离的内部网络中泛滥。比如专网、内网、数据中心，这些区域过去被用户认为是相对安全的区域，很多客户在这些区域仅仅部署了传统防火墙进行防护。但勒索病毒感染内部网络的途径很多，比如U盘等存储介质、比如社会工程学，再或者是与DMZ间接相连的网络都可能成为来源。

3）过于复杂的安全体系，没有发挥应有作用

这起事件影响的用户中也不乏安全投入比较高、设备购买比较齐全的用户。但是过于复杂的体系，使得安全设备并没有用好，没有及时更新，没有及时获取到安全事件等。用户通过复杂的体系，需要运维很多设备，并且看到的是碎片化的日志。复杂的体系和过多无效信息，使得很多用户丧失了对安全的信任，并没有很好的把安全设备用起来，这也是造成用户被感染的原因。

三．事前防护+事中监测+事后处置的整体安全解决方案

基于勒索病毒的这一类安全事件，我们重新审视网络安全建设，提供深信服的解决之道。因此该解决方案基于事前、事中、事后全过程设计，通过下一代防火墙AF、终端检测响应软件EDR、全网安全大数据检测平台和人工安全服务等实现：事前风险预知、事中有效防御、以及事后持续检测和快速响应，为用户提供全程的安全保护能力，让安全更简单更有效。

针对勒索病毒的防护，应当依据病毒感染的完整生命周期进行防护，必须涵盖事前的防护、病毒入侵后的持续监测、发现病毒快速处置三个环节。

| 事前防御

1）边界防护:防止病毒从边界入侵，关闭风险传输端口，更新防护规则，阻断传播

2）终端防护:防止病毒从终端入侵，提升终端端口开放、弱口令、漏洞等安全基线

| 持续监测

病毒入侵后会横向扫描、广泛扩散繁殖。持续监测能第一时间发现入侵事件，及时止损

| 隔离+处置

发现中毒事件，首先需要应急隔离失陷主机，控制疫情，避免反复感染;之后再定点查杀，清除病毒文件。

| 事前防御:边界+终端立体防护

勒索病毒的本质属于蠕虫病毒，利用Windows 漏洞或远程桌面弱口令作为入口点进行传播，因此事前通过关闭不必要的端口、修复已知漏洞，可一定程度上切断勒索病毒传播途径;而对于无法打补丁的重要业务系统和大规模终端场景，或出于业务需要无法关闭相关端口的情况下，通过深信服下一代防火墙AF和终端检测响应系统EDR 的组合方案，能够迅速构建起边界+终端的立体防护能力。

针对最新爆发的勒索病毒变种，AF能够快速同步威胁情报，对用户网络进行自检分析是否存在对应漏洞等风险，并将威胁情报和分析结果通过邮件、微信等多种方式第一时间紧急通知用户;用户在AF界面可一键生成匹配的防护规则，防护病毒入侵的漏洞等风险。

针对终端层面，EDR可结合威胁情报自动对终端进行基线核查，检查终端是否存在可被利用漏洞、弱密码、不安全端口开放等风险，在安全事件发生前帮助用户及时发现并修复潜在业务威胁风险。同时对于最新变种GlobeImposter 病毒，EDR能够其防御通过3389端口远程暴力破解终端的传播方式，多次登录失败后直接拒绝处理。

| 持续监测:第一时间发现已感染主机

勒索病毒版本更新频繁、入侵方式多变，仅靠防护无法保障100%的安全;一旦勒索病毒入侵会先潜伏、再扫描、最后由点及面快速扩散，造成爆发式破坏。因此需要对全网进行持续监测，第一时间发现第一台失陷的主机，并进行应急处置，将勒索病毒造成的损失降到最低。

深信服全网安全大数据检测平台解决方案，提供对全网安全的实时监控、动态感知的能力。SIP 可全网采集流量，结合EDR上报终端日志信息和AF上报边界防御日志进行汇总关联分析，通过可视化界面为用户展示内网整体安全状况，第一时间发现内网横向扫描、病毒扩散、非法外联等勒索病毒行为，并及时告警，帮助用户在勒索病毒大面积感染前及时发现。