为什么有全家桶还会被勒索？ – 作者:si1ence

0x0 背景

应该还是有不少安全从业者没有遭受过黑帽子们的洗礼或毒打，才会经常问起为什么花重金买了安全全家桶之后却还中了勒索？逐渐也就明白为什么现在很多甲方会经常被黑产割韭菜的一些根本原因，黑帽子每天勤勤恳恳专研技术，兢兢业业做做信息收集，一步步探索如何价值最大化；很多被盯上的受害者对黑帽子们的行为和手法还一无所知，还把所有希望押注在全套的安全产品上，恍然间就有一些被股市里被割韭菜的无力感。

0x1 黑产模式

熙熙攘攘、利来利往。目前主流的黑产套现方式主要还是以恶意SEO(网站挂马、黑链)、恶意挖矿、勒索、僵尸网络(DDOS)、诱导欺诈为主，还包含一些灰色地带的产业本人接触的也不是很多，这里不多误导萌新。

挖矿应该是当中技术门槛最低的一种方式，加杠杆配置一些好的机器加大CPU与GPU组个集群自己都能搞，但是自己搞效率太低了怎么办？那就只能拉入更多的机器入伙，通过一些蠕虫与热门漏洞的结合、批量在互联网找其他机器，常见的方式比如热门的MS17-010、弱密码爆破、热门的S2系列、weblogic、thinkphp系列RCE等等，开始挖矿的主机还要负责去感染其他主机，还好是代码自动化如果手工的方式估计就太辛苦了。理论上只要控制的数量足够多，那么收益应该还是可观的但是相对而言，现在挖矿的病毒家族太多了而且还存在同行业病毒互相清除的情况恶意竞争颇有一种无间道的感觉，导致收益率越来越低感觉有点不划算，抓到的一些病毒样本提取到钱包地址一查发现也是受益平平。

依靠僵尸网络组建DDOS当前情况个人来看也是门槛高、技术难度大且收益较低的一类操作。由于目前很多业务逐步开始上云，业务的可用性与带宽资源多数都有运营商进行管控甚至还有一些动态调节机制，峰值流量大的时候带宽给你搞大点，正常模式就还是恢复原状，抗D设备和目前热门的CDN模式都能在攻击场景当中取得积极作用，而且今非昔比现在肉鸡有没有那么多抓了。黑链与网站挂马本人了解也不是很多，之前跟踪过几个大马样本和利用的分析，私下觉得这里面的门槛技术还是太高了除开披露的RCE漏洞利用外，还有很多七七八八的门道在里面，多数还是与菠菜、小电影、网站推广居多一些。

之前因为加了一些QQ群的关系，也收到过一些典型的钓鱼邮件，也接触到一些鱼叉邮件的经验。普遍的钓鱼邮件主要还是想搜集你的邮箱账号和密码、QQ号码与密码之类的，自己也收到过一些伪装成QQ空间的那种登录钓鱼。鱼叉邮件除开一部分的定向攻击场景，多数还是传播僵尸网络与窃密密码，特别是各种商贸系的钓鱼邮件多数有部分就是Emote的僵尸网络，具体怎么能套现产生价值应该还有其他渠道不甚了解。

0x2 勒索病毒

相对与挖矿压榨点计算机运算能力赚点钱对受害者来讲最多也就电脑卡点、网站页面打开慢点，普通用户也不知道到底是网络卡还是服务器卡，感知也没有那么明显。勒索这个就不一样了直接导致业务中断，关于勒索病毒个人觉得是来钱最快的一种方式而且运营体系相对成熟。最近一段时间比较热门的勒索家族比如GlobeImposter、Sodinokibi、phobos、Crysis等平均的解密成本都在小几十万的样子，被加密的文件一般都有个readme之类的东西告诉联系方式，通过匿名邮箱的方式与对应的黑产运营团队进行联系，通过虚拟货币交易安全性妥妥的高。为什么不通过其他第三方支付？于是18年的时候就出了一个大佬这样实践了，结果年纪轻轻就遭到了社会的毒打。

从这个事件的另外一个侧面也说明了一个事实，该场景下面的技术难度并不是很高。相对最开始热极一时的wannacry利用弱密码爆破与17-010都能横扫小半个地球，利用被攻陷的主机继续去感染其他主机的模式，按照数学模型就是指数级的增加，数量到了一定级别是非常可怕的，但是从公布的消息来看最后的收益还远远不及侠盗病毒GandCrab来的多平均每周入账250万美刀。类似于wannacry这套自动化模式理论上传播速率和感染面都应该更大，但是这套机制也存在一个很大的缺陷。因为病毒传播的更新并不是容易，普通用户只要安装好了补丁、设置了强密码基本上就可以免疫该病毒，实在不行随便下个免费的杀毒软件、收费版的EDR很多都提供一键免疫的功能，由于病毒的在传播的过程中多数也不会怎么更新针对样本的查杀也是准准的，相对很多杀毒厂商也是第一时间支持了对该病毒的查杀结合逆向专家们的分析各种操作清清楚楚的，所以这套模式理论上是走不长久的。而且目前针对勒索病毒场景，防御的手法更是越来越多，依靠这套自动化传播的方式一劳永逸是不现实的。

目前主流的勒索主要还是以手工投毒的方式为主，手工投毒越来越偏向于一种定向攻击的概念，这种方式相对来说就比较可怕了。黑帽子可以通过多方的信息收集打点后，一步一步来，不再追求那种广撒网、打一火就走的模式，甚至在选取投毒对象的时候都会考虑你是否是那种会支付赎金的哪一类客户；

常见的内网渗透方式还是最常见的RDP暴力破解、SMB暴力破解、或者就是正常登录，入口点的方式相对会多一些，鱼叉邮件、web安全之类的场景都有。从作案时间来看也是月黑风高夜 普遍也选取在凌晨的时间点，根据一些典型的案例来看黑帽子往往是在经过过一段时间的潜伏，并非一入侵成功就是开始各种操作，通过控制一些跳板机器之后一步一步的探测内网资产，收集用户密码之类行为，最后再针对性的投放勒索病毒。

0x3 分析

回到最开始的问题，为什么主流的安全设备全家桶对勒索家族这么难防御？无论是基于流量层面的IDS、FW还是基于终端的杀软、终端管控软件，对于一个拿到administrator的账号密码的攻击者来说都是无解的。

由于之前一时兴起在互联网上部署了一个蜜罐和web应用，发现每天都有大量未成功的攻击扫描、漏洞利用、暴力破解的攻击行为，甚至还抓到了不少自动化攻击的病毒样本。对于很多勒索受害者来说，特别是一些IT规模较大的往往对于网络边界的认知并不是很清楚，在未做好资产梳理的背景下那些地方存在脆弱性并不是很清楚，某一个资产被拿下的时候进入到内网可能都是无声无息，并不是所有网络边界都有安全设备盯着吧？也不是所有安全设备的报警日志都有人分析吧？当然还有部分资产直接暴露在公网，而且还存在一些弱密码、未打补丁的安全漏洞或者未授权的漏洞的情况总有点，1级鲁班七号当面挑战15级的典韦的画面感。是故意送人头吗?部分运维的萌新为了方便自己运营将很多服务器都设定同一个密码，或者规律性的密码、或者好记的弱密码，也是在给黑帽子留机会。 

在突破了第一台服务器之后，自然是利益最大化不能勒索了这一台就撤了吧。当前收集一切有意义的信息了读一下操作系统的密码，内网扫描探测一下看看看能不能有更多的跨网段，其他资产都是干什么的。内网探测容易被发现？实话实说这个还真的要分情况，一来就拿个nmap多个开几个线程扫描一个B段是容易被发现，既然时间不着急完全可以慢慢来降低被发现的风险，拿自己抓到的密码尝试登录一下其他主机，或者看看有没有其他通讯录之类东西，密码本、涉及账号密码的邮件之类的信息，很多行为都是很难被察觉的。而且，大多数受害者的网络环境都没有那么干净一些常规的业务误报非常常见,不可能一点安全报警都没有。内网IDS普遍不具备拦截能力一些常规的扫描就更无所谓了，遇见真实的扫描探测的时候不见得能够第一时间发现，现实版的狼来了的感觉。相对与445端口的SMB协议、黑帽子往往更喜欢3389的RDP，因为RDP协议是加密的而且是运维场景下非常普遍的，即使通过RDP协议复制病毒文件根本不会被网络层的设备审计下来。 

操作系统端的杀软部分具有主动防御的能力，也是整个场景当中的最后一环，在勒索病毒场景有用吗？我个人觉得是非常有用的，前提是它能正常运作！

相信国内主流的安全厂商针对勒索母体的查杀技术，哪怕是针对未知勒索样本的杀毒能力都已经很强了能覆盖绝大多数场景。从行为上来看，勒索主机的样本功能都相对比较简单常规的就是遍历文件目录、生成秘钥、加密文件、反虚拟机、反调试、删除磁盘卷影、修改注册表、生成勒索提示文件、收集主机信息、上传信息到外网服务器、遍历共享等等，关键API、函数调用一般都相差不多静态扫描多多少能识别一部分。真实的勒索场景下，大多数黑帽子也是按照很多应急响应的思路拿到管理员的账号RDP登录，上来就是一堆专业化的工具卸载各种杀软停止进程、类似于PCHunter这一类驱动级别的工具有什么卸载不的？哪怕你真的查杀能力一级棒，本质上也无用武之地，所有从入口点到横向、到终端上的运行很多全家桶的安全防护也并不能真正杜绝这种手工投毒的情况发生，在应对蠕虫模式的自动化攻击场景的积极作用是明显的。 

关于解密估计很多受害者也是个萌新缺乏相关姿势储备，文件被加密后上百度、google搜索有没有什么解密的工具或者途径可以破解的。只要目前还在活跃的勒索病毒，基本上就不存在可以免费解密的情况不然别人怎么赚钱？难道只是为了社会大众提高信息安全意识吗？一些可以收费解密的本质上也是购买秘钥罢了假手于人还不如自己去买比特币解密。至于很多希望可以白piao能免费破解的，打败你的真的不是天真而是无邪，建议还是多学习一下密码学。自己补充一些对称加密、非对称加密、分组密码、散列算法的知识，学习一下RSA加密原理、AES的S盒替换、行移位、列混合、轮秘钥加，了解一下大素数的分解难题、mod运算与伟大的中国剩余定理、模重复平方法、欧几里算法的原理；你会发现勒索readme文件那么一大串密文到底代表的是什么意思，不努力争取一下都不知道有多绝望，多点知识才不会不忽悠。

0x4 安全建设

夫祸患常积于忽微，在日常的安全治理当中普通用户到底能做什么呢？首先还是需要明确本质上不可能会100%杜绝这种事件发生，所有的安全治理只是为了增加黑帽子的攻击成本，包括时间成本、技术成本、人力成本等。比如购买一些防火墙、EDR之类的安全设备是增加了攻击的技术难度，起码提供了一层基础的保障，黑帽子在渗透过程如果绕不开这一环就需要花大心思去研究。设定操作系统的登录失败的锁定策略、强密码策略，也是增加攻击成功的时间成本，就算爆破成功总需要一些时间吧，这样方便运维人员、安全专家能够及时发现这个异常进行处置，快速发现，快速处置。

安全治理与建设的内容之前也简单写过这里就不展开吹水了，说几点个人觉得比较重要且比较有效的一些小建议：

1. 整理暴露面  最起码需要知道当前负责的网络拓扑是什么样子吧，梳理一下那些是公网可以访问的，这些都是一些潜在的风险点。典型的web服务、数据库服务器、OA系统、VPN接入、业务系统等场景，针对重点资产进行梳理并一一排查潜在风险。
2. 脆弱性发现   识别重点资产，针对性的漏扫、渗透、业务漏洞、系统漏洞、配置不当等风险都需要规避，不能升级或者无法整改的需要有一些替代方式。
3. 访问控制  较好且完善的访问控制在攻防场景都是较好的举措，针对重要资产限制一些root的远程登录、结合业务系统做一些iptables、整理好VPN账号管控、多因素认证等方式。
4. 账号安全  这个应该是最重要且效果明显的强密码策略、账号锁定策略简单却有效，账号的分配、销毁、权限分配尽量标准化。
5. 运维处置  针对安全设备的报警及时响应处理发现是业务误报的要尽快加白，有问题的主机要尽快处置，发现有新的安全事件快速响应，针对一些重要资产可以设置短信、邮箱、微信告警提示，安全设备规则库要最快更新。
6. 安全意识  人是技术层面之外最容易被突破的，效果也是立竿见影的。加强对安全意识的培训、海报宣传，不要设置弱密码、不要乱点可疑邮件、发现可疑问题及时上报、不传代码到公网、微信QQ社交媒体都需要慎重担心社工等等。
7. 安全资讯   日常多关注一些安全媒体发现了什么新漏洞、新姿势本地验证快速修复，不要抱有侥幸者心理。多和同行交流交流，很多需求和案例都不是单一且孤立的，它山之石可以攻玉。
8. 安全体系建设  如果有自己的思路可以按照自己的思路走，如果没有可以参考一些安全标准的思路比如常见的等保、ISO27001之类的结合自己具体的业务场景与实际情况看着办，有些东西存在即合理。
9. 定期备份  真的遇见一些特殊情况了之后，还有个备份至少可以降低点损失就和汽车随车带个备胎的的思路是一样的。

0x5 总结

千里之堤毁于蚁穴，行业熟知的木桶原理描述的很准确网络整体安全水平由安全级别最低的部分所决定，很多甲方可能投入了大量的资金和人力做安全最后还是有可能出现一些不愉快的安全事件，并不是这些工作都是徒劳没有什么用而是真实的攻击往往都是防不胜防百密一疏是常态，需要持续改进、持续优化。希望通过购买全套的安全设备就可以一劳永逸，这个问题还真的不是充钱就可以解决的，安全还是一件不被大众熟知、不被认可却很专业的事情。

来源：freebuf.com 2020-09-02 14:18:13 by: si1ence