勒索病毒从入侵到结束的全流程分析
勒索病毒入侵全流程分析
1. 探测扫描阶段
- 攻击行为
攻击者对目标网络进行端口扫描(如RDP 3389、MSSQL 1433等),识别暴露在互联网的高危服务,同时探测系统版本、应用版本等信息,寻找可利用的弱口令或漏洞。 - 技术手段
使用Nmap、Masscan等工具进行全网段扫描,或通过搜索引擎(如Shodan)快速定位高危资产。
2. 入侵突破阶段
- 常见入侵路径
- RDP暴力破解:针对开放远程桌面的服务器,通过弱口令爆破(如“123456”“admin”等)获取系统权限。
- 漏洞利用:利用未修复的高危漏洞(如MS17-010永恒之蓝、PHP远程代码执行漏洞等)直接入侵系统。
- 钓鱼邮件:发送携带恶意附件的钓鱼邮件(如伪装成“发票.rar”“政策文件.exe”),诱导用户点击运行恶意程序。
- 数据库服务入侵:通过MSSQL弱口令爆破,获取数据库权限后执行系统命令或下载后门程序。
3. 横向移动阶段
- 攻击行为
攻击者在初始入侵成功后,通过以下方式扩大控制范围:- 内网渗透:利用漏洞或弱口令横向感染其他服务器/终端。
- 凭证窃取:通过Mimikatz等工具获取内存中的管理员密码,或读取本地凭证文件。
- 恶意脚本分发:通过PsExec、WMI等工具批量下发勒索病毒程序。
4. 加密勒索阶段
- 加密行为特征
- 文件加密:快速遍历磁盘文件(如文档、图片、数据库等),使用高强度加密算法(如AES-256)进行加密,并修改后缀(如“.medusa”“.locked”)。
- 勒索信息投放:在桌面或加密目录生成勒索文本(如“README.txt”),要求支付比特币等加密货币以获取解密工具。
- 破坏性操作
- 删除系统备份文件(如Volume Shadow Copy),阻止用户自行恢复数据。
- 关闭安全软件进程,清除日志记录以掩盖攻击痕迹。
5. 勒索通信阶段
- 通信方式
- 匿名网络:通过Tor网络或暗网提供解密联系页面,要求受害者提交加密文件样本以验证解密能力。
- 邮件勒索:直接通过匿名邮箱(如ProtonMail)发送勒索指令。
- 支付与解密
攻击者要求支付高额赎金(通常以比特币计价),部分团伙提供“免费解密少量文件”服务以增加可信度,但实际支付后可能无法完全解密。
防御建议
- 网络层防护
- 限制高危端口(如RDP、MSSQL)的互联网暴露,部署防火墙/IP白名单。
- 启用网络入侵检测系统(NIDS),监控异常流量和暴力破解行为。
- 主机层防护
- 强制使用高强度密码(长度≥12位,含特殊字符),启用账户锁定策略。
- 定期更新系统补丁,禁用高危存储过程(如
xp_cmdshell)。
- 数据层防护
- 采用“3-2-1”备份策略(3份数据、2种介质、1份离线),防止备份文件被加密。
- 部署终端防勒索工具(如火绒企业版),拦截可疑进程行为。
通过以上流程可见,勒索病毒攻击具有高度组织化和自动化特征,需通过多层级防护措施阻断攻击链
