从2017年5月爆发的 WannCry 开始,勒索病毒真正以嚣张之势走向了大众视野。与我们印象中偏向于勒索个人用户不同的是,从去年下半年开始,勒索病毒在国内的攻击重点已经开始转向了各类服务器,尤其以Windows服务器为甚。近日,360互联网安全中心发布了《Windows 服务器下勒索木马的防护与对抗》报告,详细分析了今年1月至4月的被勒索病毒攻击的服务器情况,包括行业分布、攻击原因及攻击手法等各个方面,旨在帮助服务器管理人员更好地防护与对抗勒索病毒。
据报告统计的受攻击目标来看,“弱口令”成为较容易受勒索病毒攻击的“靶子”,占比超过一半。使用弱口令的服务器,远程桌面服务一旦被爆破,黑客就可以远程登录用户的计算机投毒。从报告的分析情况看,很多远程爆破并不是短时间完成的,而是持续一段时间的攻击。用户在被攻击的过程中并未察觉异常,直至机器被拿下并投毒,再去查看日志才发现问题。
![201804261400496530[1].jpg](/d/file/news/IT/2018-06-19/00efdf8f532ac8ccc852a55244ce8b56.jpg "1526282480552631.jpg")
![2018427183918385[1].png](/d/file/news/IT/2018-06-19/2e2e4e66bd6e8e77395d50c55b6097e4.png "1526282443162617.png")
![201804261400494811[1].jpg](/d/file/news/IT/2018-06-19/085065b5644bf0afcb06e9c7a212d64c.jpg "1526282463313412.jpg")
而排第二位的,是共享文件夹被加密的情况,这一类情况相对比较特殊:看似是中了勒索病毒,其实是“错觉”。许多用户反应,局域网中共享的文件突然被加密,怀疑是自己中了勒索病毒,但计算机内其他文件是完好的。这种情况一般是由于局域网中其它机器感染了勒索病毒,勒索病毒通过搜索局域网中共享文件夹,找到并加密了这些文件,使局域网中的其他用户产生“自己也被攻击”的错觉,其实本身并未中木马。
此外,软件漏洞和系统漏洞较近也常被黑客利用,如WebLogic的反序列化漏洞,Apache Struts2的多个任意代码执行漏洞都被用做过远程投毒,对于没有打补丁的机器来说,这些也都是极其危险的。
根据报告对用户端被攻击情况的分析可以看出,攻击者使用工具主要有四大类:
第一类,扫描爆破工具,此类工具配合“密码字典”对主机实施第一波嗅探打击,使用弱口令的机器很容易在这波扫描中被拿下。
第二类是各类密码嗅探工具,在完成第一波打击之后,对局域网进行渗透时使用的。这也是经常出现一个集群,多台主机同时中招的原因。
第三类常用工具是进程管理类工具。攻击者一般在投毒时,通过这些工具结束安全防护软件进程和一些备份程序,数据库服务等,方便木马的投放与效果发挥。针对此类工具,我们也做了相应防护。
第四类工具是长期驻留工具,常见的有远控和后门程序,通过这类工具实现多主机的长期控制,一般会在渗透阶段使用。
通过这些经常被使用到的工具也可以看出,存在弱口令和严重系统漏洞或软件漏洞的机器,较容易成为攻击目标!攻击者通过这些工具的组合使用,对安全防护薄弱的这类服务器实施打击,并进行渗透和长期驻留,这对于服务器集群来说也是比较致命的,一台存在漏洞的主机,就可能造成整个数据库集群的沦陷。
对此,安全专家提醒广大用户,尤其是服务器管理者,尽量避免使用弱口令,定期为系统升级、打补丁,还可以安装EAM安全防护软件,从根源上防御病毒登录控制服务器。