Contents
勒索软件事件应急处置流程/计划
基本处置流程
https://github.com/fs0x90/incident-response/blob/master/ransomware-triage.txt
https://www.demisto.com/playbook-for-handling-ransomware-infections/
阶段一 立即措施
1 将受感染系统与内部网络 断开连接 。
2 搜索 勒索扩展名,勒索邮件、勒索交易地址,了解该勒索软件的基本情况,判断病毒家族。
3 尽可能不要操作受感染主机。(某些勒索软件家族,真实执行依赖于替换快捷方式等待用户点击,它会首先展示一个虚假的勒索页面 e.g. Spora);
4 请勿重启受感染主机。 (特定家族的勒索软件可以从内存中获取密钥; Petya 在重启后会加密更多文件)
5 对受感染主机的硬盘进行备份。(如果勒索软件的 C&C 服务器被发现,未来可能开发出解密工具)
6 导出受感染主机的内存,进行备份。
7 导出受感染主机的系统日志。
8 尝试确认受感染原因 (Initial Compromise Vector)
9 如果有 SIEM 等系统, 设置 IOC 去检测 其他潜在的受感染系统。通常可以将 包含病毒本体的 exe 文件 作为 IOC。
10 对全公司/组织进行通知,提高用户的安全意识,不要点击可以附件或者插入外部未知 USB 设备。
11 在邮件网关进行屏蔽设置 ( 比如 Exchange 的 mailflow rules )
12 联系相关保险公司 (如果有)
14a 联系其他相关权威组织,比如政府主管单位。 (如果有必要)
阶段二 事中措施
1 分析受影响数据的敏感性。
2 如果有 SIEM, 对与受感染设备的所有出入流量日志进行 分析和关联。并且需要确认各个主机日志的 时间戳是否同步 。
3 设置 IOC 触发器列表和预警机制
4 回滚 至最近的备份数据。
5 假定 受感染主机 上的所有密码都被窃取 (Lazagne, Mimikatz)。用 未受感染的主机 修改相关密码。
6 远程访问协议,比如 SSH, RDP, VNC 等,是一个常见的威胁入口,最好进行双因素认证。
7 在某些情况下,恶意软件未能禁用 Windows 的数据恢复机制。当你在处理恢复的数据时,需要当心其中是否包含被感染的文件。
常用的数据恢复软件
http://www.shadowexplorer.com (free)
http://www.easeus.com/ad/data-recovery-wizard.htm
8 如果 个人可识别信息 (PII, Personally Identifiable Information) 受到了影响, 相关令牌和密码应当被重置。
(举个具体例子,如果是某个员工的工作主机被感染了,那么该员工的 VPN, 邮箱相关密码应当被重置)
9 如果 个人可识别信息 被窃取,整个组织应当小心模仿和欺诈 (社交工程)。
阶段三 事后措施 (长期建议)
1 建立适当的备份策略,并且定期测试备份策略是否有效。
2 对终端用户进行安全意识培训。
3 将网络划分为多个网段。
4 定期进行 渗透测试/ 红队评估
5 建立 应急响应 (Incident Response) 计划 和 评价机制
6 持续进行威胁猎杀 (Threat Hunting)
7 对组织内数据进行 分类、分级。
8 获取一些可用的威胁情报,比如来自 abuse.ch 和 alienvault 等。
预防措施
Windows 环境
https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml
1 建立良好的企业数据备份机制。
尤其注意备份服务器所在的网段与主要生产服务器的网段不同,能物理隔离尤佳。放置在不同网段的理由主要是防止勒索病毒蠕虫式扩散时相互感染,比如经常出现的情况是主要生产服务器和备份服务器同时被勒索蠕虫加密。
2 组策略禁用宏
在组策略 (Group Policy Object, GPO) 中禁用 Office 宏。
所有来自互联网下载的Office 文件默认打开时需要使用受保护的视图(Protected View)。
3 组策略禁用 WSH (Windows Script Host)
在组策略 (Group Policy Object, GPO) 中禁用 WSH 。
4 在邮件网关过滤特定后缀的附件(级别1)
过滤以下后缀的附件:
.386, .ace, .acm, .acv, .ade, .adp, .adt, .ani, .app, .arc, .arj, .asd, .asp, .avb, .ax, .bas, .bat, .boo, .btm, .cab, .cbt, .cdr, .cer, .chm, .cla, .cmd, .cnv, .com, .cpl, .crt, .csc, .csh, .css, .dll, .drv, .dvb, .email, .exe, .fon, .fxp, .gms, .gvb, .hlp, .ht, .hta, .htlp, .htt, .inf, .ini, .ins, .iso, .isp, .its, .jar, .job, .js, .jse, .ksh, .lib, .lnk, .maf, .mam, .maq, .mar, .mat, .mau, .mav, .maw, .mch, .mda, .mde, .mdt, .mdw, .mdz, .mht, .mhtm, .mhtml, .mpd, .mpt, .msc, .msi, .mso (except oledata.mso), .msp, .mst, .nws, .obd, .obj, .obt, .obz, .ocx, .ops, .ovl, .ovr, .pcd, .pci, .perl, .pgm, .pif, .pl, .pot, .prf, .prg, .ps1, .pub, .pwz, .qpw, .reg, .sbf, .scf, .scr, .sct, .sfx, .sfx, .sh, .shb, .shs, .shtml, .shw, .smm, .svg, .sys, .td0, .tlb, .tmp, .torrent, .tsk, .tsp, .tt6, .url, .vb, .vbe, .vbs, .vbx, .vom, .vsmacro, .vss, .vst, .vsw, .vwp, .vxd, .vxe, .wbk, .wbt, .wIz, .wk, .wml, .wms, .wpc, .wpd, .ws, .wsc, .wsf, .wsh
5 在邮件网关过滤特定后缀的附件(级别2)
过滤以下后缀的附件:
.doc, .xls, .rtf, .docm, .xlsm, .pptm, .bin
6 邮件标识
在邮件网关进行设置,对于 来自 低信任级别 的 发件人域名 的邮件,来自黑名单域名的邮件 等 进行特殊警告标记。
7 组策略限制特定目录的程序执行
对组策略进行设置,禁止 %LocalAppData% 和 %AppData% 这两个目录下的文件执行。
禁止 AppLocker 的执行。
8 显示完整的文件扩展名
在注册表编辑器众找到 “HideFileExt” 字段,将这个值设置为 0。 可以避免类似 not_a_virus.pdf.exe 命名的勒索病毒的攻击。
9 组策略设置强制 UAC 提示
对组策略进行设置,任何需要提升权限的操作都需要管理员用户( Administrative User )的确认。
10 移除管理员特权
移除和限制不必要的管理员权限,让恶意软件只能读写用户能读写的区域。
11 限制工作站之间的通信
启用 Windows 防火墙,对 Windows 工作站之间的通信进行限制。
12 邮件附件沙箱
对邮件网关的附件进行沙箱动态行为分析,移除部分潜在的恶意附件。
13 进程执行限制
可以考虑使用第三方工具对进程执行进行白名单限制 (很多杀毒软件都带有这个功能)。
常见的软件(免费)包括 AntiHook, ProcessGuard, System Safety Monitor 。
14 设置默认文件扩展名的打开方式为记事本
在组策略中进行配置,默认未知文件扩展名的打开方式设置为 记事本 (notepad.exe) 而不是 Windows Script Host 或 IE浏览器。
15 文件屏蔽管理
设置 文件服务器资源管理器 ( File Server Resource Manager ) , 进行服务端文件屏蔽 (File Screening)。
16 开启 EMET 功能
开启 和 配置 EMET 功能 (Enhanced Mitigation Experience Toolkit), 检测和阻止常见的漏洞利用操作。
17 Sysmon
使用 Sysmon 5 的 文件/注册便监视功能,在勒索软件运行的早期阶段及时发现。
18 WSUS
配置 WSUS (Windows Server Update Services) 及时更新补丁。
参考资料
1 https://github.com/fs0x90/incident-response/blob/master/ransomware-triage.txt
2 https://www.demisto.com/playbook-for-handling-ransomware-infections/
Leave a Reply