提到勒索病毒，總能和巨額贖金、信息泄露等等重大安全隱患事件聯系起來。比如近期發生的勒索攻擊致美國半個能源系統停擺的事情。

但不是所有的勒索病毒都能成功入侵。

最近，深信服終端安全團隊就發現了這樣一起“勒索未遂”的故事——勒索病毒在用戶開啟 RDP 服務時入侵，利用暴力破解手段試圖入侵破壞企業數據，被深信服 EDR 安全團隊發現及時排查清除。

那么，該勒索病毒的具體入侵路徑究竟是怎樣的呢？

我們一起來看下。

反勒索病毒入侵全紀錄

發現威脅

首先，代入一下場景。

某天，深信服終端安全專家君哥正在通過深信服EDR 云端查殺數據分析監控著世界各地的病毒去向。

突然，深信服終端安全專家發現用戶的客戶端收到了一條告警提醒，仔細一看事情不妙，馬上開始排查。

按照規矩，深信服終端安全專家立刻用云端日志展開了遠程“調查”，通過安全云腦威脅情報獲取到對應的樣本文件，安全專家在本地進行了行為分析，證實確實為勒索病毒，該勒索病毒分別名為 Makop、Milleni500。

不過，大家也不必擔心，這個過程不會涉及任何敏感信息。

云端數據只上傳病毒查殺日志，包括設備 ID、查殺時間、病毒文件哈希、查殺路徑，但不會上傳用戶文件，未告警的正常文件也不會上傳任何信息，不會造成敏感信息泄露。附勒索病毒詳細信息：

1、Makop 勒索病毒的勒索信息如下：

2、Milleni500 勒索病毒的勒索信息如下：

于是，安全專家聯系到對應的用戶對 EDR 管理平臺和告警終端進行詳細排查。

如何入侵

那么，這個病毒究竟是如何入侵的？

我們一步步往下看。

首先，通過對 EDR 管理平臺檢測日志的分析，發現產生告警的來源于一臺監控服務器，該服務器對外網開啟了 RDP 服務。其中，靜態文件檢測進行了告警，并對勒索病毒文件進行了自動處置：

緊接著，深信服終端安全專家對該勒索病毒進行了更深層次的溯源發現，該用戶終端一直在遭受持續的暴力破解攻擊。

根據 EDR 日志告警的勒索病毒上傳目錄，與該勒索病毒一同檢出的還有大量黑客工具：包括 NS（用于內網掃描）、everything（正常的文件搜索工具，沒有實際威脅）、ClearLock（一款鎖屏軟件）、bat 腳本（用于刪除備份卷影）。

但通過 everything 排查主機上的EXE文件，未發現其他可疑情況，排查 asp、aspx、jsp、php 等后綴的文件，未發現異常。

此外，由于服務器系統日志保留時間較短，無法查到入侵時間點的日志信息，且排查未發現 WebShell 和明顯入侵途徑，入侵方式暫不明確，因此無法溯源到最初的入侵 IP。

不過，好在該用戶開啟了 EDR 文件實時監控、勒索病毒防護實時監控以及自動處置策略，成功攔截了本次事件中上傳的勒索病毒，避免了一次“慘劇”發生。

申浪科技終端安全團隊來給您提個醒

雖然這一次該用戶“逃過一劫”，但對付勒索病毒除了依靠深信服 EDR 實時監測外，更需要平時的自我防護，才能讓勒索病毒無可乘之機。

因此，針對該用戶的具體情況，深信服終端安全團隊也給出了一套行之有效的建議： 

1、建議關閉 RDP 服務，不要對外網直接映射 RDP 服務，如有業務需要，建議使用 EDR 的微隔離對于威脅端口進從策略訪問控制并封堵或者使用 VPN；使用 EDR 的基線檢查功能，查找系統中存在的弱密碼，并及時通知相關責任人進行修改；

2、服務器密碼使用復雜密碼，且不要與其他主機密碼重復、不要與外部賬號密碼重復，防止泄露；并使用 KeePass 等密碼管理器對相關密碼進行加密存儲，避免使用本地明文文本的方式進行存儲；

3、系統相關用戶杜絕使用弱口令，同時，應該使用高復雜強度的密碼，盡量包含大小寫字母、數字、特殊符號等的混合密碼，加強運維人員安全意識，禁止密碼重用的情況出現，并定期對密碼進行更

4、已開啟 EDR 的 RDP 暴力破解并自動封堵功能，當出現暴力破解事件時，及時檢查密碼強度，并通知相關終端的責任人及時修改相關密碼；
建議開啟 EDR 的 RDP 二次登錄驗證功能；

5、使用 EDR 進行全網的漏洞掃描，發現并及時修補高危漏洞，及時打上補??；

6、定期進行全盤掃描，建議安排安全人員定期進行日志分析，提前規避高危風險點。也可以聯系安服團隊進行公司網絡安全的全面檢查。

---

 

部分素材來源：深信服科技          安全咨詢電話：400-677-6571