医疗行业-勒索病毒的刨析与防范v22课件

勒索病毒剖析与防范勒索病毒原理01主机感染勒索病毒文件后，会在主机上运行勒索程序，遍历本地所有磁盘指定类型文件进行加密操作，加密后文件无法读取。然后生成勒索通知，要求受害者在规定时间内支付一定价值的比特币才能恢复数据，否则会被销毁数据。什么是勒索病毒？勒索病毒事件回顾WannaCry勒索病毒2017年5月12日WannaCry在全球爆发，勒索病毒使用MS17-010永恒之蓝漏洞进行传播感染。短时间内感染全球30w+用户，包括学校、医疗、政府等各个领域Globelmposter勒索病毒首次出现在2017年5月，主要钓鱼邮件传播，期间出现多种变种会利用RDP进行传播

。2018年2月中旬新年开工之际Globelmposter变种再度来袭。受害者勒索界面勒索病毒的发展和进化勒索即服务（RaaS）市场规模年增长25

倍无特定目标勒索手段粗糙AIDS木马世界首例勒索病毒1989Archievus木马首次采用非对称加密LockerPin首例安卓勒索软件WannaCry军用级漏洞利用200620152017针对特定目标难以解密、追踪15年损失约3.15亿美元大规模破坏损失2年增长15倍2019每14秒一次勒索攻击病毒数量指数级增加损失将达到115亿美元利用机器学习物联网设备……

勒索病毒传播需要植入到受害者主机的常见四种方式钓鱼邮件恶意代码伪装在邮件附件中，诱使打开附件典型案例：Locky、Petya变种主要对象：个人PC蠕虫式传播通过漏洞和口令进行网络空间中的蠕虫式传播典型案例：WannaCry、Petya变种主要对象无定向，自动传播都有可能ExploitKit分发通过黑色产业链中的ExploitKit来分发勒索软件典型案例：Cerber主要对象：有漏洞的业务Server勒索病毒常见传播方式暴力破解通过暴力破解RDP端口、SSH端口，数据库端口典型案例：.java、Globelmposter变种主要对象：开放远程管理的Server勒索病毒常见传播方式

网闸

医院外网

医院内网

终端响应

边界防护

边界防护INTERNET

微信公众号Web服务0Day漏洞暴力破解钓鱼邮件社工攻击移动存储工具勒索病毒运行后对预定的文件类型进行加密文件加密完成文件加密后，弹出勒索对话框引起受害者注意弹框勒索对内部网络主机进行弱点探测网络探测对存在弱点的内网主机进行弱点利用并传播勒索病毒内网传播内网传播感染勒索病毒内网传播方式勒索病毒攻击演示勒索病毒的特点和挑战网络勒索病毒变异虚拟货币传播手段传统杀软难以检验难以人力收集样本盈利方式直接难以监管追踪多种传播手段单一防御检测方法难以应对勒索病毒应急处置与加固02勒索病毒预防措施----安全管理制度建立完善的安全管理制度并严格执行严格管理互联网访问权限，避免引入外部风险；严格控制内网终端接入移动存储设备，避免引入安全风险；网络管理员应该周期性的使用网络检查设备检查网络或关注和整理网络安全设备生成的日志报表，了解网络是否存在安全风险，及时整改；禁止人为关闭计算机终端防病毒软件等安全软件；私人计算机终端禁止接入医院网络；强制所有安全设备/软件每天更新规则库并每隔一段时间检查更新情况；等等……勒索病毒预防措施----网络层面根据院内网络实际情况，重新规划安全隔离区域，通过防火墙设备修改配置策略实现区域与区域之间的安全隔离，避免勒索病毒在内网扩散；严格配置外联网络的边界访问控制策略，例如互联网接入区、外联网络接入区等（默认外联机构的网络都是不安全的）；关闭不必要的端口访问，仅开放必须的业务端口；加强边界安全防护设备的策略配置，重新检查配置情况，避免因策略配置缺失带来的安全风险；及时更新内外网所有安全设备/安全软件的规则库，目前绝大部分安全产品都是基于特征库匹配的防护模式，更新到最新的规则库有助于防御最新的安全风险；勒索病毒预防措施----边界隔离

安全访问应用交付下代防火墙万兆网络千兆网络交换机上网行为管理

PACS大容量区域

OA、手麻、财务常规区域

HIP、HIS、EMR、LIS高性能区域安全感知

网络总体出口

放射科住院部门诊部急诊楼

灾备数据中心

生产数据中心ISP1ISP2ISP1

WEB、手机APP互联网业务区域

医联体-村镇乡医院医联体医院-N分支云分支云医联体医院-1网闸

内网交换/无线控制器

外网交换网络

外网交换网络容灾内网容灾区域网闸

医联体-区县医院医联体医院-N医联体医院-1

医联体区域

安全资源池

医联体云深信服——医院整体数据中心拓扑图

PACS大容量区域

OA、手麻、财务常规区域

HIP、HIS、EMR、LIS高性能区域

网络总体出口放射科住院部门诊部急诊楼ISP1ISP2

医联体-村镇乡医院医联体医院-N分支云分支云医联体医院-1网闸

内网交换/无线控制器

外网交换网络

医联体-区县医院医联体医院-N医联体医院-1

医联体区域

安全资源池

医联体云

安全访问应用交付下代防火墙万兆网络千兆网络交换机上网行为管理

PACS大容量区域

OA、手麻、财务常规区域

HIP、HIS、EMR、LIS高性能区域

网络总体出口放射科住院部门诊部急诊楼ISP1ISP2ISP1网闸

内网交换/无线控制器

外网交换网络

外网交换网络容灾内网容灾区域网闸

灾备数据中心

生产数据中心

HIPHISEMRPACS其他系统RTO=0RPO=0RTO=0RPO=0RTO=5mRPO=0RTO=15mRPO=0RTO=15RPO=0

安全访问应用交付下代防火墙万兆网络千兆网络交换机上网行为管理

PACS大容量区域

OA、手麻、财务常规区域

HIP、HIS、EMR、LIS高性能区域安全感知

网络总体出口

放射科住院部门诊部急诊楼ISP1ISP2

WEB、手机APP互联网业务区域网闸

内网交换/无线控制器

外网交换网络

灾备数据中心

生产数据中心

安全访问应用交付下代防火墙万兆网络千兆网络交换机上网行为管理安全感知

网络总体出口

放射科住院部门诊部急诊楼ISP1ISP2网闸

内网交换/无线控制器

外网交换网络

PACS大容量区域

OA、手麻、财务常规区域

HIP、HIS、EMR、LIS高性能区域勒索病毒预防措施----系统及应用层面避免使用弱口令，口令强度要符合规范，并且定期更换，禁止多个终端/服务器使用同一口令；关闭Windows共享服务、远程桌面控制等不必要的服务，仅开放服务器所必需的服务；定期对主机/服务器执行打补丁的操作，确保操作系统时刻处于最新的状态；对重要系统及数据进行定期非本地备份或组建异地灾备平台；不要点击来历不明的邮件正文链接及查看或下载附件信息；勒索病毒应急处置“中招”怎么办?1.隔离感染主机2.切断传播途径3.查找攻击源4.查杀病毒修复漏洞已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡；

关闭潜在终端的SMB，RDP端口。关闭异常的外联访问。抓包分析攻击源，网内查找其他受感染的终端及服务器查杀病毒，如有漏洞及时打补丁修复漏洞，修改管理员权限帐号口令；勒索病毒数据恢复加密原理1.勒索工具遍历加密文件2.删除原始文件，只留下加密文件找到被删除的源文件恢复1.不同勒索病毒可能采用不同加密算法2.针对大文件勒索病毒为了提升加密效率只加密文件头3.具体加密步骤如下数据恢复方法方案一：尝试用数据恢复软件找到被删除的源文件；方案二：通过解密工具破解，解密文件；方案三：通过winhex对比历史文件分析文件头内容恢复方案四：支付赎金恢复数据，部分勒索病毒即便支付攻击者赎金也未必可以解密被勒索文件勒索病毒的数据恢复难度较大，防范应以预防为主，如下提供几个思路尝试勒索病毒给我们的启示安全体系人工智能持续对抗快速响应事件第一时间响应风险隔离紧急处置持续待命构建安全体系严格执行实时监控防护策略落地识别未知风险自动化检测防御提高准确率持续进化勒索时代前赴后继的黑客新的家族、变种新的攻击方式深信服的安全实践03攻击投放阻断扩散传播阻断阻断病毒传播的漏洞流量漏洞阻断安全防御----流量防御对邮件附件进行查杀，识别恶意的邮件附件邮件查杀对下载的可执行文件进行云查杀，阻断勒索病毒的下载病毒查杀勒索病毒阻断阻断弱口令攻击尝试暴力破解防护安全防御----威胁感知数据中心探针STA办公区探针STA安全感知系统SISEDR插件EDR插件EDR插件端点联动针对大型医疗机构全网自动发现受害主机及服务器，发现潜伏威胁主机，提供安全决策依据；内网终端及服务器的访问关系梳理，及时发现异常访问流量访问关系梳理自动发现内网服务器及终端存在的漏洞，避免勒索病毒通过漏洞传播内网漏洞感知感知内网是否存在弱口令，避免通过弱口令入侵植入勒索病毒弱口令安全防御----人工智能分析异常访问行为感知通过机器学习及大数据人工智能算法，分析内网异常行为，应对未知勒索病毒的攻击行为；使用安全感知探针方案分析流量可以发现内部潜伏的安全问题。威胁主机检测当新型勒索病毒爆发时快速响应，进行针对性的检测与防护快速响应阻断勒索病毒攻击中的各个阶段，将勒索病毒御敌于网络之外流量防御通过本地、远程手段扫描可能传播勒索病毒或被勒索病毒利用的漏洞或口令脆弱性，事前预防勒索病毒的植入途径勒索风险安全评估全方位安全服务安全防御----应急安全服务灾备服务----CDP技术实时数据备份生产服务器客户端软件离线存储前置服务器灾备管理平台云端业务验证本地接管服务器本地数据中心IPSecVPNIPSecVPNXYCloudsCDP复制本地CDP复制：秒级数据保护，轻松应对系统中毒、数据被锁云端离线存储：本地系统无法访问，避免云端备份快照被感染应用级别容灾：恢复系统到中毒之前，最大限度还原系统状态云端隔离验证：验证系统安全性，避免已中毒系统再次感染内网VPC灾备服务----异地灾备生产服务器客户端软件灾备云前置服务器灾备管理平台云端业务接管正常的业务访问切换后的业务访问本地接管服务器本地数据中心IPSecVPNIPSecVPNXYClouds外网用户内网用户正常的业务访问切换后的业务访问内网应用在本地切换VPC域名访问：DNS解析切换感染C&C通信加密勒索横向传播下一代防火墙端点检测响应安全感知平台邮件勒索病毒检测恶意域名DGA勒索病毒检测进程阻断病毒查杀SMB解析勒索病毒检测漏洞修复下一代防火墙EDRSIP勒索病毒NGAFNGAF全网勒索情报云灾备服务人工智能引擎安全专家值守响应检测防御能力生成安全云脑持