1. 计算机病毒
计算机病毒是一个程序,一段可执行代码;是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。
计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。
近期挖矿病毒与勒索病毒特别猖狂,针对这些病毒,我们做一下分析:
1.1. 勒索病毒
勒索病毒,是一种电脑病毒,主要以邮件、程序木马、网页挂马、RDP暴力破解的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
1.2. 挖矿病毒
挖矿病毒是利用服务器资源挖矿,主要表现为服务器资源利用率高,网络流量很大等。
2. 近期高爆发率病毒
自2017年5月12日勒索病毒全球性爆发开始,各大勒索病毒逐步呈现,纷纷威胁着应用系统的安全。目前,容易感染的勒索病毒有WannaCry、GlobeImposter、Satan、Peyta等勒索病毒。除勒索病毒外,还存在“永恒之蓝”挖矿病毒和门罗币挖矿病毒,详细如下:
2.1. 勒索病毒
2.1.1. GandCrab家族:勒索达世币、多渠道传播
GandCrab家族勒索病毒传播渠道相对其他家族丰富很多,包括挂马攻击、水坑攻击、漏洞攻击和钓鱼邮件攻击,其中水坑攻击令人防不胜防。水坑攻击传播通过入侵网站后台,将网页内容篡改为乱码,并且提示需要更新字体,诱导用户下载运行“字体更新程序”,实际上用户下载到的是GandCrab2勒索病毒。勒索信息如下:
2.1.2. Crysis家族:针对服务器攻击、利用RDP传播
Crysis家族最早可以追溯到2016年3月,但进入2017年之后,才开始持续传播,并且一直针对Windows服务器攻击。主要传播方式是利用服务器弱口令漏洞,爆破远程登录用户名和密码,进而通过RDP(远程桌面协议)远程登录目标服务器运行勒索病毒。由于黑客是远程登录服务器后手动操作,因此即使服务器上安装有安全软件,也有可能会被黑客手动退出。勒索信息如下:
2.1.3. GlobeImposter家族:针对服务器攻击、利用RDP传播
GlobeImposter同样是个较老的勒索病毒家族,其初期主要通过钓鱼邮件针对个人用户攻击,如今或许是为了更高的收益,也将重点攻击目标逐步转向服务器。传播方式与Crysis家族类似,主要通过爆破后利用RDP协议远程登录操作。随着十二主神和十二生肖的出现,GlobeImposter勒索病毒的发招到了极致,勒索信息如下:
2.1.4. Satan家族:针对服务器数据库文件加密、利用永恒之蓝漏洞
Satan勒索病毒也是个老家族,首次出现在2017年1月份。Satan病毒的开发者通过网站允许用户生成自己的Satan变种,并且提供CHM和带宏脚本Word文档的下载器生成脚本。在3月下旬,发现Satan勒索病毒爆发,利用NSA泄露的永恒之蓝漏洞工具主动攻击局域网内其他存在漏洞的系统,并且针对数据库文件进行加密。勒索信息如下:
2.1.5. WannaCry勒索病毒
WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。勒索信息如下:
2.1.6. Sodinokibi 勒索病毒
随着GandCrab退出江湖,继任者sodinokibi勒索病毒取而代之,该病毒首先出现于2019年4月底,主要传播方式如下:
- 垃圾邮件
- 口令爆破
- flash漏洞等
勒索信息如下:
2.2. 挖矿病毒
2.2.1. “WannaMine”挖矿病毒
不要因为它不向你索要“比特币”就置若罔闻,中病毒后,由于挖矿程序的存在,该程序会偷偷利用用户电脑的运算资源进行罗门币挖矿。电脑闲置状态时,风扇转速增快,电脑发热增加,GPU使用率达到100%,非闲置状态时,恢复正常。这样会对计算机硬件造成极大的损耗。
该病毒程序利用了“永恒之蓝”高危漏洞在局域网内蠕虫式传播,并且使用中毒电脑挖取一种与“比特币”类似的虚拟数字货币“门罗币”牟利。
WannaMine该木马利用”永恒之蓝”漏洞在局域网内攻击传播,将染毒机器构建成一个健壮的僵尸网络,支持内网自更新,长期潜伏在电脑中以挖币。
3. 传播方式与防御方法
不同病毒的感染方式与传播方式不通,针对近期病毒进行研究,发现病毒的感染存在三种方式:操作系统漏洞、RDP暴力破解和应用系统漏洞,详细如下:
3.1. MS17-010漏洞
当 Microsoft 服务器消息块 1.0 (SMBv1) 服务器处理某些请求时,存在多个远程执行代码漏洞。成功利用这些漏洞的攻击者可以获取在目标系统上执行代码的能力。
为了利用此漏洞,在多数情况下,未经身份验证的攻击者可能向目标 SMBv1 服务器发送经特殊设计的数据包。
该漏洞补丁微软于2017年3月已在官网挂出,但为引起人们注意,同年四月美国国家安全局(NSA)的NSA方程组攻击攻击被泄露,其中EternalBlue这款攻击工具被黑客利用,导致5月份WannaCry勒索席卷全球、6月Peyta勒索病毒再次爆发。
3.1.1. 自查方式
- 检测系统是否按照ms17-010漏洞补丁;
系统版本/补丁号 |
kb4012598 |
Kb4012212(纯安全补丁)或者kb4012215(每月汇总补丁) |
Kb4012213(纯安全补丁)或者kb4012216(每月汇总补丁) |
Windows XP |
适用 |
|
|
Windows 7 |
|
适用 |
|
Windows 2003 |
适用 |
|
|
Windows 2008 |
适用 |
|
|
Windows 2008 R2 |
|
适用 |
|
Windows 2012 R2 |
|
|
适用 |
- 通过ms17-010漏洞检测工具检测系统是否存在ms17-010漏洞。
http://www.jiangmin.com/uploads/soft/JMTools.exe通过该漏洞查看器,检测系统是否存在漏洞。
3.1.2. 防御方法
WannaCry与Peyta这类勒索病毒、永恒之蓝(WannaMiner)一代和二代挖矿病毒等都是通过MS17-010漏洞感染与传播,因此解决方案有两种:关闭445端口(关闭SMB协议)与打补丁。
1、关闭137、138、139、445端口,禁用文件共享服务。
2、打补丁等于修复MS17-010系统漏洞。
3.2. RDP(SSH)暴力破解
暴力破解的原理是攻击者使用用户名字典和密码字典,枚举用户名和密码,通过多次尝试获取登录信息。大部分人为了记忆密码,会使用简单,易联想的密码,导致攻击者通过枚举方式获取操作系统用户名和密码,从而进行恶意破坏。目前Sodinokibi/GlobeImposter勒索病毒及其变种均通过RDP暴力破解获取用户名和密码,借此登录远程计算机,上传勒索病毒,导致服务器被感染。
3.2.1. 自查方式
- 是否对将3389(22)端口映射到互联网;
- 检测密码的复杂度;
3.2.2. 防御方法
- 修改密码复杂度,密码数大于8位,密码包含数字、大小写字母和特殊字符;
- 修改administrator/root默认用户名
- 通过修改注册表,修改远程登录默认端口号;
- 配置密码复杂度策略;
- 配置登录失败策略。
3.3. Web应用漏洞
黑客通过对web应用进行测试,通过挖掘web应用漏洞,进行病毒传播,目前较为严重的漏洞有文件上传漏洞、弱口令、RCE远程执行漏洞等。
3.3.1. 防御方法
- 渗透测试,通过对web应用进行渗透,可充分了解web应用的安全状况;
- 部署web应用防火墙,web应用防火墙能有效防止黑客的危险扫描,有效地防止黑客后续攻击;
- 针对影响信息进行定期更新。
来源:freebuf.com 2020-07-18 10:20:52 by: bbbbbbig
请登录后发表评论
注册