​2019勒索事件回顧 RDP弱口令滲透愈演愈烈

• 2020 年 2 月 16 日
• 筆記

一、簡述

根據「火絨在線支持和響應中心」平台數據顯示，2019年中，國內遭受勒索病毒攻擊的政企逐漸增加，勒索病毒依舊是企業網絡安全的嚴重威脅之一。

犯罪組織的運營方式越發正規，通過RaaS(Ransomware-as-a-Service勒索軟件即服務)方式運營的勒索病毒愈來愈多，通過在「暗網」招收不同地區的代理進行合作，利用RDP弱口令滲透、釣魚郵件、軟件捆綁、漏洞等多種手段進行傳播。

除加密文件勒索贖金外，如Maze勒索還增加了盜取企業數據的行為，如不交付贖金將泄露被盜取的數據，逼迫企業即使在有文件備份的情況下，為了數據不被泄露不得不交付贖金，並且此行為得到其他勒索病毒運營者的認同，未來盜取數據可能成為勒索病毒的主流行為。

本文會以火絨2019年處理的勒索病毒事件內，所處理的病毒種類、數量、易受攻擊用戶等進行說明，並介紹火絨企業版對勒索病毒的防護方式與使用火絨後的安全建議。

二、2019年勒索病毒攻擊數據

根據「火絨在線支持和響應中心」平台統計，2019年勒索病毒攻擊事件呈現以下三大特點：

病毒數量不斷上升。在2019年內，火絨攔截到的勒索病毒的種類、家族（包含變種）複雜多樣，且數量巨大，與往年相比依舊呈現上升現象。其中，活躍度前三的勒索病毒為：GlobeImposter、Crysis（Dharma）、Sodinokibi。（如下圖）

以政企單位為主。根據火絨全年內對客戶提供的技術支持得出，遭遇勒索攻擊的多為企業用戶。分析原因是由於企業用戶的網絡（如服務器）多暴露在公共網絡，加上企業多使用老舊系統存在未修復的漏洞，以及管理人員安全意識薄弱等各類因素，共同造成企業用戶較個人用戶而言，更容易被勒索病毒識別攻擊的結果。

僅以火絨提供數據顯示，典型的如製造業、電子與互聯網、醫療、政府單位以及教育行業等，在2019年內均受到較為嚴重的勒索攻擊。（如下圖）

傳播方式多樣。火絨安全2019年內處理的勒索事件中，RDP弱口令滲透依舊是勒索病毒最常見的傳播方式，佔總攻擊次數的6成以上。其次為釣魚郵件傳播，通過海量釣魚郵件傳播勒索病毒。其餘的攻擊方式有利用殭屍網絡傳播、利用高危漏洞傳播、使用激活工具傳播與利用下載器傳播等。（如下圖）

除了RDP弱口令滲透以外，犯罪組織還會通過釣魚郵件、殭屍網絡、激活工具、高危漏洞等方式傳播勒索病毒：

釣魚郵件會通過構造迷惑性內容，如偽裝成政府機構或快遞信息，欺騙用戶下載郵件內附件或點擊郵件內連接，使病毒成功運行。

殭屍網絡、銀行木馬等與勒索病毒的合作也越來越多，例如MegaCortex勒索病毒會通過Qakbot銀行木馬傳播，Ryuk勒索病毒會通過Trickbot銀行木馬傳播。

此外，個人用戶常會遇到以激活工具、破解軟件、下載器方式進行傳播的勒索病毒，如計算機並未安裝安全軟件，即有文件被加密的可能。例如STOP勒索會藏匿在激活工具、下載器、破解軟件內，」微信支付」勒索偽裝成薅羊毛軟件等。

三、RDP弱口令滲透與勒索病毒的相互藉助

1、RDP弱口令如何成為勒索病毒的「幫手」

遠程桌面協議RDP，此協議為」遠程桌面」類工具常用協議，Windows內的"遠程桌面"，Linux內的"rdesktop"，第三方軟件"wfreerdp"均使用此協議。只需主機的賬戶與密碼，即可訪問主機內資源，多用於遠程協助與遠程運維。

犯罪組織通過RDP暴破，或於黑市上購買RDP憑證(最低只需6美元)，通過有管理員權限的賬戶進行登錄。在成功登錄後，黑客會使用Mimikatz類憑據獲取工具，獲取本機或域內憑據，用作內網滲透，同時使用內網掃描工具，尋找網絡內高價值服務器(OA、文件服務器、數據庫服務器)等，在進行文件加密前，會使用工具破壞服務器內的安全環境(關閉Windows Defender，破壞安全軟件)，以上操作成功後，運行勒索病毒加密文件。

2、RDP弱口令傳播成為勒索病毒入侵主要方式原因

在火絨2019年處理的勒索事件中，勒索病毒多選擇使用RDP進行傳播，佔全部勒索事件的61%。

火絨工程師分析，出現此類問題，多為企業內存在密碼強度弱、密碼復用等安全問題，除RDP外，無論是遠程控制使用的VNC，還是Sql Server、Tomcat、FTP，都有因弱口令，被暴破成功後入侵的可能。

值得一提的是，在本文統計的2019年8款高危勒索病毒一覽（見後附錄部分）中，有6類均是以RDP弱口令滲透傳播為主。

四、勒索病毒與安全廠商的攻防趨勢

1、勒索病毒的攻擊形式不容樂觀

犯罪組織攻擊渠道不斷轉變。在過去的2019年里，勒索病毒的攻擊方式從漏洞、郵件、激活工具等大比例轉變為RDP弱口令滲透，讓安全防禦難度增大。

病毒攻擊次數呈現遞增形式。雖然在過去的幾年內，安全廠商不斷研發技術，並向用戶普及勒索病毒的危害、基礎防禦方法，但在利益的驅使下，勒索病毒攻擊依舊高漲，甚至形成了完整的產業鏈。

對病毒的破解手段單一。目前，絕大多數的勒索病毒使用的是非對稱的加密手段，幾乎無法破解。只有極少數的勒索病毒在使用對稱加密或主動留下密鑰，才有機會破解。

2、安全防禦由單一的對抗（攔截、查殺）轉為對傳播渠道的主動封堵。

對終端進行全面加固。高危漏洞、暴露在外網的服務器、各類程序軟件的漏洞成為勒索病毒入侵終端的一大方式，因此，對系統、軟件的漏洞防禦，對服務器的保護成為過去的一年中重要防禦方向。

對傳播渠道的遏制。上述RDP弱口令滲透愈演愈烈，讓勒索病毒藉助並大肆傳播。如何遏制此類攻擊，成為2019年後，安全領域亟待完善和加強的防禦領域。

3、火絨的策略

主防的進一步加強。除了常規的病毒攔截以外，火絨在去年推出「漏洞攻擊攔截」功能、「應用加固」以及「殭屍網絡防護」、「Web服務保護」等功能都是針對終端脆弱點進行防護，極大減少勒索病毒進入的風險。

RDP登錄防護。2019年中，火絨除了在個人版5.0上新增「遠程登錄防護」功能預防弱口令滲透外，火絨企業版也推出"遠程登陸防護"功能，可通過設置IP白名單，拒絕並追蹤陌生可疑設備進行RDP登錄。此外，火絨也將RDP弱口令滲透作為重點防禦領域，未來也將制定完整的防護策略，遏制此類攻擊。

圖示：在開啟此功能後，進行RDP登錄，並被火絨阻止，並記錄日誌，其中包含遠程主機IP，與登錄使用的用戶名等信息。

五、針對勒索病毒的防禦措施

1、部署安全軟件，防禦以郵件、惡意捆綁、殭屍網絡等方式傳播的勒索病毒，對其查殺或阻止其運行，提高終端安全性。

2、使用複雜密碼，Windows賬戶所用密碼需符合密碼複雜度要求(密碼長度需大於等於8位，至少含有大/小寫字母、數字、特殊字符中的三種)。

3、對無相關業務的端口進行限制，例如禁用445，修改RDP默認端口3389等。如無法禁用，可對此類端口進行限制，例如對共享目錄設置相關ACL權限，在組策略內對遠程桌面登錄進行限制等。

4、及時安裝補丁，對存在漏洞的服務進行升級，防止勒索病毒通過漏洞進行傳播。

5、對重要業務、文件進行異地備份。

6、提高員工安全意識，對激活工具、可疑郵件、未知來源軟件等，謹慎打開和使用，使用陌生可移動設備前，先進行查殺。

7、火絨使用過程中，您可按照火絨官網內的《部署火絨後的安全加固建議》，對火絨進行設置，以提高安全性。

附錄：2019高危流行勒索病毒一覽

1、GlobeImposter

該病毒根據不同版本，又名"十二生肖勒索"、"十二主神勒索"等，該勒索常見後綴為".(動物、希臘主神)+4444666865qqz"，勒索信名稱為"HOW TO BACK YOUR FILES.exe"。

GlobeImposter自進入國內以來，主要的攻擊目標為醫療行業。主要傳播方式為RDP弱口令，在成功登陸後繼續進行內網滲透，同時加密多台服務器內的文件，造成較大損失。由於使用RSA+AES算法對文件進行加密，被加密的文件如沒有相應的RSA私鑰基本無法解密。

2、Crysis（Dharma）

Crysis勒索病毒多通過RDP弱口令傳播，Dharma為Crysis勒索病毒變種，該勒索病毒使用RSA+AES或RSA+DES算法加密文件，在沒有相應RSA私鑰的情況下無法解密。文件後綴為此格式:"id-XXXXXXXX.[郵箱].文件後綴",勒索信名稱為"FILES ENCRYPTED.txt"、"Info.hta"。

3、Phobos

Phobos勒索病毒復用了Crysis的部分代碼，與Crysis高度相似(文件後綴與勒索信)，該勒索病毒多通過RDP弱口令進行傳播，使用RSA+AES算法加密文件，在沒有相應RSA私鑰的情況下無法解密，文件後綴為此格式".id[XXXXXXXX-XXXX].[郵箱].後綴名"或"id-XXXXXXXX.[郵箱].後綴名"，勒索信名稱為"info.txt"、"info.hta"。

4、Sodinokibi

據傳，該勒索病毒繼承了部分GandCrab勒索病毒的代碼與傳播渠道，在GandCrab停止運營後，此勒索病毒活躍度逐漸提升。該勒索多通過RDP弱口令、釣魚郵件、Oracle WebLogic CVE-2019-2725漏洞進行傳播，其中釣魚郵件多偽裝成海關、公安、法院、DHL快遞等內容。

該病毒使用Salsa20算法加密文件，目前無法解密。被加密文件後綴為5-10個隨機字符，勒索信名稱為"隨機字符-readme.txt"，在文件加密結束後，會修改桌面壁紙為藍色，並提示您文件已被加密，閱讀勒索信。

5、STOP

STOP勒索，又名STOP-Djvu勒索，該勒索多偽裝成激活工具、軟件下載器、破解軟件進行傳播。最初該勒索使用AES-256對文件進行加密，後期使用salsa20與RSA算法。該勒索較老的版本，如果加密環境不能連接黑客服務器，會選擇使用離線密鑰加密文件，此種情況下可以解密文件，如在線獲取密鑰或被新版本STOP勒索病毒加密的情況下，無法解密文件。經國外安全研究人員統計，該勒索病毒根據變種不同，文件被加密後所使用過的不同文件後綴有上百個，勒索信也根據版本有不同名稱。

6、RYUK

RYUK勒索，攻擊目標多為大型企業與政府機構，通過Emotet渠道下發的Trickbot銀行木馬進行傳播。此勒索病毒多根據企業規模進行定製性攻擊，攻擊成功後索要贖金數額巨大。該勒索使用RSA+AES算法對文件進行加密，在沒有相應RSA私鑰的情況下無法解密。被加密文件後綴多為.RYK，勒索信名稱多為"RyukReadMe.html"或"RyukReadMe.txt"。

7、MedusaLocker

MedusaLocker勒索多通過RDP弱口令傳播，早期勒索信與GlobeImposter非常相似，曾被認為是GlobeImposter的變種。該勒索病毒使用RSA+AES算法對文件進行加密，在沒有相應RSA私鑰的情況下無法解密。近期出現較多的文件後綴為".ReadTheInstructions"和".READINSTRUCTIONS"，勒索信名稱多為"RECOVER_INSTRUCTIONS.html"和"INSTRUCTIONS.html"

8、CryptON

CryptON勒索，又名X3M、Cry9等等，該勒索多通過RDP弱口令進行傳播，使用3DES和RC4算法加密文件，因加密後，密鑰文件會保存在本地(temp000000.txt)，所以該勒索可以解密。但目前發現的用戶現場內，該文件多被黑客取走，導致無法解密。目前常見的，被加密文件後綴多為"X3M"、"firex3m"、"WECANHELP"、"YOU_LAST_CHANCE"，勒索信名稱為"!!!DECRYPT MY FILES!!!.txt"、"_RESTORE FILES_.txt"。