恢復快照就安全了嗎？深信服EDR火眼金睛清掃漏網勒索

近年來，隨著勒索病毒攻擊事件的激增，企業也逐漸開始重視資訊保安防護的加強，除了部署各層安全防護軟體外，同時也加強了容災和備份；加上企業雲概念的普及，很多企業使用者都會應用虛擬機器來承載伺服器業務，並定期進行快照備份，即使虛擬機器終端遭到入侵加密，也可以快速恢復資料和業務，降低損失。

看起來虛擬化平臺似乎無懼勒索病毒的威脅，然而，快照恢復後是否安全其實取決於快照的時間節點，很可能恢復快照後系統中仍然殘留了勒索病毒和攻擊者的後門程式，仍然是一顆“定時炸彈”。

深信服終端安全團隊在一次雲端威脅分析中，就發現了這樣一個案例......

初現端倪

深信服終端安全專家日常對雲端查殺日誌進行定期巡檢，透過雲端資料過濾定位到真實勒索檢出，從而提醒使用者加強勒索防護措施。在今年一月份的巡查中，發現了一條高可疑的檢出，威脅檔案的路徑“music”是勒索攻擊中常見的病毒上傳路徑：

威脅名稱	檢出雜湊	檢出路徑
Ransom.Win32.Save.a	2A927D16419D8724D1F9677CEF0A8961	c:\users\temp\music\jeepers creepers - dix\dix_low_local.exe

透過安全雲腦威脅情報獲取到對應的樣本檔案，安全專家在本地進行了行為分析，證實確實為勒索病毒，該勒索病毒名為MedusaLocker，目前沒有公開的解密工具：

 

於是安全專家聯絡到對應的使用者對EDR管理平臺和告警終端進行詳細排查。

水落石出

首先透過對EDR管理平臺檢測日誌的分析，發現產生告警的是一臺虛擬機器伺服器，與勒索病毒一同被檢出的還有大量駭客工具檔案，包括mimikatz、NetworkTool等內網橫向工具，檢出時間在1月27日晚九點左右：

 

於是安全專家登入了對應的伺服器進行溯源檢查，一頓操作猛如虎，一看什麼也沒有......

 

從系統日誌到建立檔案都沒有遺留下入侵痕跡，分析人員差一點就要佩服攻擊者的反溯源能力超群了，最後檢查EDR日誌時發現，該虛擬機器上的EDR安裝於1月27日上午十點：

 

於是向使用者詢問該伺服器的詳細情況，得知該伺服器曾遭到過加密，運維人員對其進行了快照恢復，沒想到恢復快照的時間節點已經遭到了駭客入侵，仍然殘留了駭客工具和勒索病毒，好在恢復後安裝了深信服EDR進行了全面的查殺，及時清掃了這顆“定時炸彈”。

 

同時，EDR還封堵了大量對該伺服器發起暴力破解的外網IP：

 

事件終了，安全專家向使用者提出了針對勒索病毒防護的加固建議，同時也提醒大家，虛擬機器雖然能及時恢復備份或快照重建業務，但仍然不能完全規避勒索攻擊風險，部署終端安全軟體進行專業防護同樣重要。

深信服解決方案

針對勒索病毒肆虐，嚴重影響使用者業務安全問題，深信服已有完整的解決方案：

 

深信服EDR產品基於勒索病毒攻擊鏈，從預防、防護、檢測與響應整個生命週期進行全面防護。

預防：透過安全基線檢查、漏洞檢測與修復等提前識別系統脆弱面，並封堵勒索病毒攻擊入口。

防護：開啟RDP爆破檢測、無檔案防護、勒索誘餌防護以及遠端登入保護等安全策略，對勒索病毒的各種攻擊手段進行針對性的對抗與防護。

檢測與響應：透過 SAVE 人工智慧引擎進行檔案實時檢測、全網威脅定位、網端雲聯動等對勒索病毒進行全網快速定位、處置與阻斷，阻止威脅爆破。深信服安全團隊再次提醒廣大使用者，勒索病毒以防為主，目前大部分勒索病毒加密後的檔案都無法解密，注意日常防範措施：

勒索病毒日常防範建議

• 及時升級系統和應用，修復常見高危漏洞；

• 對重要的資料檔案定期進行異地多介質備份；

• 不要點選來源不明的郵件附件，不從不明網站下載軟體；

• 儘量關閉不必要的檔案共享許可權；

• 更改賬戶密碼，設定強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃；

• 如果業務上無需使用RDP的，建議關閉RDP，儘量避免直接對外網對映RDP服務。