Morphoneme

因统一的RDP弱密码,政府、国企、医疗等行业用户受CrySiS勒索!

发表时间:2018-08-10 10:22作者:深信服社区
近日,深信服陆续发现政府、国企、医疗等多个行业用户的业务系统在短时间内出现被勒索加密现象,造成服务器大面积瘫痪,情况危急。受影响的系统包括世界500强企业核心系统、关系民生的政务云系统、医疗系统等。

深信服安全专家团队通过深入追踪分析,发现该勒索病毒为CrySiS变种,CrySiS目前仍然是比较活跃的勒索家族之一。出现大面积业务瘫痪,主要原因在于采用了统一的RDP弱密码。

病毒名称:CrySiS病毒变种
病毒性质:勒索病毒
影响范围:政府、国企、医疗等多个行业受攻击
危害等级:高危
病毒分析
黑客主要运用了Mimikatz、IP扫描等黑客工具,进行RDP爆破,利用统一密码特性,使用相同密码对全网业务进行集中攻击,导致重要数据被加密。
勒索画面,黑客要求交比特币进行解密,比特币赎金多少取决于回复速度

01、攻击场景
首先,黑客通过钓鱼等方法获取内网某台主机的控制权,接着,尝试对服务器A进行RDP爆破,爆破成功,使用Mimikatz获取密码。
服务器A被攻陷后,使用服务器A的密码来入侵其它服务器,主要步骤为:IP Scanner扫描、Mimikatz获取密码、RDP入侵并传播勒索。先对同网段的服务器进行扫描,确定可攻击的对象,接着使用Mimikatz获取密码,最后通过获取到的密码,使用RDP成功将CrySiS勒索病毒打入其它服务器。

02、黑客工具
为了配合实施攻击,服务器A被上传以下黑客工具。
Advanced_IP_Scanner_2.5.3581.exe是IP扫描工具,Shaofao.exe是CrySiS勒索病毒体,x64对应的是Mimikatz64位版本,x86对应的是Mimikatz32位版本,下图是x86对应的文件夹。
Advanced_IP_Scanner_2.5.3581.exe的功能比较强大,支持多种协议(包括RDP),可对单台,也可对整个网段进行扫描,甚至可实现完全控制。
模拟攻击场景截图

03、CrySiS勒索病毒
CrySiS勒索病毒在2017年5月万能密钥被公布之后,消失了一段时间,最近该类勒索病毒的新变种又开始活跃,攻击方法同样是通过远程RDP爆力破解的方式,植入到用户的服务器进行攻击,其加密后的文件的后缀名为.bip,由于CrySiS采用AES+RSA的加密方式,目前无法解密。
捕获的CrySiS勒索病毒变种,其整体功能流程如下:

首先,创建互斥量,防止多次运行:
CrySiS对应的注册表及启动项:
删除卷影,防止数据恢复:
遍历局域网共享目录,并加密:


04、统一的RDP弱密码有多危险?
对于运维管理人员来说,特别是当服务器数量比较多的时候,为了管理方便,不少管理人员选择使用统一的帐号密码。另外,为了易于记录,防止忘记密码,管理人员有可能设置譬如123456等弱密码。很多时候,用户都误以为内网场景,就不会存在被攻击的可能性。

统一的RDP弱密码的危险性。一旦所有服务器都设置统一的弱密码,则意味着每台都极易被攻破,而一旦某台被攻破,其它服务器也可使用相同密码进行入侵,进而出现在极短时间内,大规模瘫痪的现象。
由此可见,不仅要设置强密码,并且最好每台服务器的密码都不相同。安全,本质是一个管理问题。

解决方案
1、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
2、如果业务上能不使用RDP的,则建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!

1) 深信服EDR 封堵RDP协议控制配置
第一步,对需要访问业务系统3389的终端加入允许,如下图配置:
第二步,对不需要访问业务系统3389的终端加入拒绝,如下图配置:

2) 深信服防火墙RDP协议控制配置:


针对内网对外发布的服务器,建议如无特殊要求,一律不允许与外网的RDP协议通信,通过【策略】——【访问控制】——【应用控制策略】——“新增”。开启“应用控制策略”功能,拦截指定源到目的的“rdp协议”具体参照下图:
3、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。


1) 深信服EDR防爆破功能配置
打开【设置】——【安全设置】;勾选开启暴力破解实时监测功能,具体配置参考下图:
4、建议对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。


l 深信服下一代防火墙配置防护步骤:
1) 确认当前设备规则库版本
确认IPS漏洞特征识别库版本,2017年11月及以后的版本均可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:

2) 开启安全功能
针对服务器网段,开启业务防护功能,【策略】——【安全防护策略】—
—“新增”——“业务防护策略”。开启“漏洞攻击防护”功能,具体参照下图:


l 深信服安全感知平台(SIP)防护配置步骤:
1) 确认IPS漏洞特征识别库为2017年11月以上版本。

2) 配置探针的“漏洞利用攻击检测”,打开【策略管理】——【安全策略】,点击设置“漏洞利用攻击检测”,勾选全部,如下图配置。


l 深信服终端监测响应平台(EDR)检测步骤:
对已经中病毒的主机使用EDR进行威胁检测;打开【威胁监测】——【新建任务】,选择需要监测的终端,点击“立即下发”即可.


分享到: