李榮瑋 黃慧揚(yáng) 羅 歡

1.2.3.廣西廣播電視臺(tái) 廣西 南寧市 530022

1 前 言

勒索病毒是近年來新興的一種電腦病毒，它的傳播方式與以往的病毒并無太大區(qū)別，都是利用系統(tǒng)漏洞進(jìn)行自動(dòng)化攻擊滲透，或者運(yùn)用各種社會(huì)工程學(xué)進(jìn)行欺詐攻擊。它與眾不同的特點(diǎn)是，該病毒會(huì)運(yùn)用各種不可逆的加密算法對(duì)用戶數(shù)據(jù)進(jìn)行加密，使得被加密的文件一般無法解密，用戶必須向黑客繳付高額贖金，才能拿到解密的密鑰，恢復(fù)文件。因此，一旦感染勒索病毒，將會(huì)給用戶帶來巨大損失。特別是在廣電業(yè)內(nèi)，內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)一旦感染病毒，大量重要數(shù)據(jù)就會(huì)被加密破壞，業(yè)務(wù)系統(tǒng)崩潰下線，直接影響播出安全。

2 勒索病毒GANDCRAB介紹

勒索病毒GANDCRAB是2018年勒索病毒家族中最活躍、危害最大的成員，該勒索病毒首次出現(xiàn)于2018年1月，在將近一年的時(shí)間內(nèi)，經(jīng)歷了五個(gè)大版本的更新迭代，此勒索病毒的傳播感染形式多種多樣，曾使用U盤蠕蟲、下載器、遠(yuǎn)程桌面爆破、永恒之藍(lán)漏洞、web掛馬等各種方式傳播，使用的技術(shù)也不斷升級(jí)，該勒索病毒主要使用RSA密鑰加密算法，導(dǎo)致加密后的文件無法被解密，目前最新的版本是GANDCRAB V5.2，之前的V5.1版本因密鑰泄露，已經(jīng)被破解，而病毒此次更新主要就是為了應(yīng)對(duì)密鑰泄露問題，更換了加密使用的主密鑰。

3 防御措施

在廣電內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)環(huán)境下，通常有一些Windows服務(wù)器和工作站未能及時(shí)升級(jí)安全補(bǔ)丁，修復(fù)系統(tǒng)漏洞，還有一些服務(wù)器和工作站開啟了RDP協(xié)議且存在弱口令，而勒索病毒GANDCRAB V5.2正好可以利用永恒之藍(lán)漏洞和RDP爆破來進(jìn)行傳播。因此，我們建議的防御措施如下。

3.1 及時(shí)升級(jí)安全補(bǔ)丁

及時(shí)升級(jí)安全補(bǔ)丁是最簡單有效的提高系統(tǒng)安全性的方法之一。大量的木馬病毒都可以利用系統(tǒng)安全漏洞進(jìn)行傳播，長期不升級(jí)安全補(bǔ)丁的主機(jī)是十分脆弱、易被攻破的。

勒索病毒GANDCRAB V5.2可以利用微軟的Windows的MS17010永恒之藍(lán)安全漏洞以及其他安全漏洞來進(jìn)行網(wǎng)絡(luò)傳播。近期微軟RDP協(xié)議又爆出CVE-2019-0708 RDP代碼執(zhí)行高危漏洞，利用該漏洞可以通過RDP協(xié)議攻破未打補(bǔ)丁的主機(jī)。

3.2 盡量不使用windows的SMB協(xié)議和RDP協(xié)議

SMB協(xié)議是一種客戶機(jī)/服務(wù)器、請(qǐng)求/響應(yīng)協(xié)議。通過SMB協(xié)議，客戶端應(yīng)用程序可以在各種網(wǎng)絡(luò)環(huán)境下讀、寫服務(wù)器上的文件，以及對(duì)服務(wù)器程序提出服務(wù)請(qǐng)求。此外，通過SMB協(xié)議應(yīng)用程序可以訪問遠(yuǎn)程服務(wù)器端的文件、以及打印機(jī)、郵件槽（mailslot）和命名管道（namedpipe）等資源。

RDP（Remote Desktop Protocol）稱為“遠(yuǎn)程桌面登錄協(xié)議”，即當(dāng)某臺(tái)計(jì)算機(jī)開啟了遠(yuǎn)程桌面連接功能后（在windows系統(tǒng)中這個(gè)功能是默認(rèn)打開的），我們就可以在網(wǎng)絡(luò)的另一端控制這臺(tái)機(jī)器了。通過遠(yuǎn)程桌面功能，我們可以實(shí)時(shí)地操作這臺(tái)計(jì)算機(jī)，在上面安裝軟件，運(yùn)行程序，所有的一切都好像是直接在該計(jì)算機(jī)上操作一樣。

Windows的SMB協(xié)議主要用于網(wǎng)絡(luò)共享文件，RDP協(xié)議主要用于遠(yuǎn)程桌面登錄、運(yùn)維。這兩個(gè)協(xié)議近年來高危漏洞頻發(fā)，是大量病毒和黑客的主要攻擊目標(biāo)。因此，使用第三方的文件共享協(xié)議和遠(yuǎn)程桌面服務(wù)來替代SMB和RDP協(xié)議會(huì)更安全。

3.3 交換機(jī)配置139、445、3389端口限制策略

的確存在一些業(yè)務(wù)場景不得不使用SMB協(xié)議和RDP協(xié)議，或者已經(jīng)大量使用了SMB協(xié)議和RDP協(xié)議，無法在短時(shí)間內(nèi)對(duì)技術(shù)架構(gòu)進(jìn)行改造。那么，我們可以在交換機(jī)上配置ACL訪問控制策略，針對(duì)具體業(yè)務(wù)需求，放行必須的SMB協(xié)議網(wǎng)絡(luò)連接（139、445端口）和RDP協(xié)議網(wǎng)絡(luò)連接（3389端口），阻斷不正常的SMB協(xié)議網(wǎng)絡(luò)連接和RDP協(xié)議網(wǎng)絡(luò)連接，這樣也能有效防御、遏制病毒的傳播。華為、華三交換機(jī)的ACL配置舉例如下：

acl number 3000

description deny_smb_rdp

rule 10 deny tcp source any destination any 139

rule 20 deny tcp source any destination any 445

rule 30 deny tcp source any destination any 3389

permit ip

3.4 嚴(yán)控資源訪問權(quán)限，降低病毒破壞范圍

目前，我們有一些信息系統(tǒng)的技術(shù)架構(gòu)是盤陣、服務(wù)器、工作站處于同一個(gè)子網(wǎng)或多個(gè)可相互無限制的子網(wǎng)下，每臺(tái)服務(wù)器和工作站都對(duì)盤陣具備完全讀寫權(quán)限。在這種技術(shù)架構(gòu)下，只要有一臺(tái)服務(wù)器或工作站被勒索病毒感染，整個(gè)網(wǎng)絡(luò)的主機(jī)都存在被傳染的風(fēng)險(xiǎn)，每個(gè)盤陣的數(shù)據(jù)都能夠被病毒直接訪問，導(dǎo)致全網(wǎng)的數(shù)據(jù)都會(huì)被輕易破壞。

因此，我們應(yīng)該嚴(yán)格控制每臺(tái)服務(wù)器和工作站的資源訪問權(quán)限，每臺(tái)主機(jī)只能夠訪問業(yè)務(wù)必須的網(wǎng)絡(luò)資源、存儲(chǔ)資源。這樣即使某臺(tái)主機(jī)不幸中毒，也只能造成有效的局部破壞，不至于導(dǎo)致整個(gè)網(wǎng)絡(luò)的主機(jī)和數(shù)據(jù)全軍覆沒。

4 病毒查殺

4.1 中毒主機(jī)的確認(rèn)

在網(wǎng)絡(luò)環(huán)境下，通常存在著多臺(tái)服務(wù)器、工作站和磁盤陣列。通常我們第一時(shí)間會(huì)發(fā)現(xiàn)共享盤陣上的文件被加密破壞了，但卻不知道是網(wǎng)絡(luò)里哪臺(tái)主機(jī)感染了病毒，因此，中毒主機(jī)的確認(rèn)十分重要。

感染了勒索病毒GANDCRAB V5.2主機(jī)一般會(huì)存在以下病毒文件：

C：usersadministratordownloadsCHSTR1.5.EXE

中毒主機(jī)的本地盤會(huì)有如下格式的勒索信：

隨機(jī)字符.MANUAL.TXT（例如：TUDQJPPL.MANUAL.TXT）

中毒主機(jī)的本地盤會(huì)有如下格式的被加密數(shù)據(jù)文件：

原文件名.隨機(jī)字符（例如：視頻素材.MP4.TUDQJPPL）

4.2 中毒主機(jī)的數(shù)量確認(rèn)

通常我們的網(wǎng)絡(luò)內(nèi)會(huì)有多臺(tái)服務(wù)器和主機(jī)中毒，在殺毒過程中如果漏殺，會(huì)造成業(yè)務(wù)重新上線后，病毒再次爆發(fā)。因此，確認(rèn)網(wǎng)絡(luò)內(nèi)中毒主機(jī)的數(shù)量十分關(guān)鍵。

每臺(tái)中毒主機(jī)都會(huì)生成唯一的格式為“隨機(jī)字符.MANUAL.TXT”的勒索信和格式為“原文件名.隨機(jī)字符”的加密文件。通過統(tǒng)計(jì)全網(wǎng)產(chǎn)生了多少封不同名字的勒索信，我們就可以確定網(wǎng)內(nèi)中毒主機(jī)的數(shù)量。

例如：在共享盤陣上，存在兩封勒索信：

隨機(jī)字符A.MANUAL.TXT（例如：TUDQJPPL.MANUAL.TXT）

隨機(jī)字符B.MANUAL.TXT（例如：SDFFDKGZ.MANUAL.TXT）

因此，我們可以判斷網(wǎng)絡(luò)內(nèi)至少存在兩臺(tái)中毒主機(jī)對(duì)這個(gè)共享盤陣進(jìn)行了加密破壞，我們必須找到這兩臺(tái)主機(jī)進(jìn)行確認(rèn)、查殺。

4.3 病毒查殺

在單機(jī)環(huán)境下，只需要使用合適的殺毒軟件即可完成病毒查殺，但在網(wǎng)絡(luò)環(huán)境下，情況就變得比較復(fù)雜，勒索病毒GANDCRAB V5.2具備網(wǎng)絡(luò)傳播能力，網(wǎng)絡(luò)環(huán)境下，不合理的查殺操作無法將病毒查殺干凈，病毒會(huì)反復(fù)感染、爆發(fā)。

最簡單的查殺方法就是直接把網(wǎng)絡(luò)交換機(jī)斷電，此時(shí)所有服務(wù)器、主機(jī)均處于斷網(wǎng)狀態(tài)，逐臺(tái)服務(wù)器、工作站進(jìn)行查殺即可。但這個(gè)方法副作用也非常明顯，交換機(jī)斷網(wǎng)后，網(wǎng)絡(luò)業(yè)務(wù)將會(huì)全部中斷。

在無法直接斷網(wǎng)的情況下，我們也可以通過在交換機(jī)上配置139、445、3389端口的ACL限制策略，在網(wǎng)絡(luò)層面阻斷病毒的傳播途徑，然后在逐臺(tái)服務(wù)器、工作站進(jìn)行查殺。限制139、445、3389端口后，雖然SMB協(xié)議和RDP協(xié)議會(huì)無法使用，但其他網(wǎng)絡(luò)業(yè)務(wù)還是正常的，能夠確保大部分業(yè)務(wù)在線。