幾個進行 Ransomware Incident Response 的重點
目錄
Ransomware 算是相當常見的攻擊方式,自從永恒之藍漏洞被利用後廣泛被大家得知。
傳播方式
通常可能的傳播方式:
- 通過社交工程,釣魚郵件誘導受害者下載檔案後執行並傳播
- 利用主機上RCR漏洞來進行傳播
- 利用主機上Web或第三方套件漏洞來進行傳播
- 利用弱密碼登入主機進行傳播
感染 Ransomware 的特點
如果感染Ransomware 會有以下兩個明顯特點。
- 各類檔案出現可疑的副檔名
- 會有明顯的提示要求付贖金
Ransomware IR 目的
- 並不建議支付贖金,這會讓駭客認為此方法有效,開啟其他攻擊
- 同時支付贖金不一定能讓檔案
- 找到入侵的原因,找到漏洞,進行修補(一般來說在重要資料有保存的前題下進行重灌)
發現被感染時的處理要點
- 不能關機!不能關機!不能關機!
- 為了防止持續傳播,可以受駭主機網路線拔除
- 可利用副檔名找是否有解密工具
- 在沒有100%保證可解密下,別自己解
- 依尋公司政策處理
針對 Ransomware 的預防
- 針對重要檔案進行備份
- 限制445、3389埠連線行為(此為目前常見的傳播行為)
- 定期進行更新
Incident Response 範例
- http://blog.nsfocus.net/emergency-response-case-study/
- https://blog.csdn.net/qq_27446553/article/details/81102198
http://vinc.top/2017/05/03/windows%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%EF%BC%8820170503%EF%BC%89/ - https://mp.weixin.qq.com/s?src=11×tamp=1533106387&ver=1033&signature=8P_AjLzeMd_GnPg0SwF4o6I06Sx804FDLw6PUkEch4h8eCCyQEr8A9hbHaIHPrqR-WiIdoJPqMsmSVic4-gs*sd3j613UabGbt6z9mQT6p5fWutdawPYrht-VlixmLLS&new=1
- https://mp.weixin.qq.com/s?src=11×tamp=1533106458&ver=1033&signature=8P_AjLzeMd_GnPg0SwF4o6I06Sx804FDLw6PUkEch4hJcF-gDfZJVqz2bzHZt6fF_EmCrKm_DXOl3CMpdqrFZwBPOuAKr1TQcF7qG2x72YvsE8D1nglxXyYenvA2HLqY&new=1