我的勒索软件事件回顾:从Osiris攻击中学到的教训

本文详细回顾了一次由Osiris勒索软件引发的安全事件,探讨了备份策略的重要性、网络分段的有效性以及用户教育的关键作用,并分享了应对勒索软件攻击的实用建议。

我的勒索软件事件回顾

作为信息安全专业人士,我们并非对入侵免疫。即使最强大的安全系统也无法弥补用户教育的不足,这一点在2016年12月让我痛苦地意识到。

我的“…!@$#”时刻

一个周日的深夜,我正坐在桌前处理收件箱,这时一位客户打电话给我。

“嘿,你有空吗?我好像打不开我的文件了。” “当然,怎么了?” “嗯,我能看到文件应该在的位置,但什么都打不开。所有文件看起来都不对劲。” “你能描述一下你看到的情况吗?” “所有文件图标都像白纸一样,文件名是一堆乱码,还有一个奇怪的文件扩展名。”

这时我开始担心了,“扩展名是什么?” “点Osiris?我不确定我读得对不对。” “…!@#$。”

我的响应

我迅速收拾了应对这种情况的常用“应急包”:我的苹果MacBook Pro、一台改装成Kali Linux的MacBook Air,以及几个装有各种发行版和工具的U盘。

在前往现场的途中,我做好了最坏的打算。这可能是因为我接受过消防员培训,或者只是我的偏执。无论如何,我预期的是:

  • SOHO网络全面传播
  • 多台计算机完全数据丢失
  • 失去一位客户

然而,当我到达企业时,我发现情况并没有我想的那么糟。虽然一位用户的文件被加密(稍后详述),但勒索软件只加密了那台计算机,网络上的其他设备都没有受到影响。那么,发生了什么,又是如何发生的?让我们分解一下哪里出了问题,哪里做对了。

哪里出了问题

简而言之,一个问题出错了。我没有教育最终用户关于最近席卷互联网的威胁。我没有告诉他们“黑客”(或脚本小子)如何使用诈骗邮件通过Microsoft Office文档传播勒索软件。这是我的错,而且是我一个人的错。我为这次入侵承担了责任,尽管不是我造成的。为什么?因为网络的安全是我的责任,因此,发生在它身上的任何事情也都是我的责任。

用户收到了一封与我过去见过的类似的电子邮件。这是一封来自“FedEx”的邮件,声称无法将包裹投递给用户。转折点?我的用户那天确实在等一个FedEx的包裹,而且没有送到他手上。我知道,这发生的几率有多大,对吧?用户下载了文件,并在U.A.C.提示出现时愉快地输入了密码。他们启用了Excel文档的宏,然后勒索软件在整个计算机中传播。然而,与我读到的其他攻击不同,它没有在整个网络中传播。

哪里做对了

在安全方面我过于偏执,因此我采取了各种措施来减轻这种威胁。(显然,我做得还不够。)下面,我列出了做对的事情的概述。

备份 – 如果你从未成为勒索软件的受害者,你可能不知道备份有多值得感激。(除非你拥有希捷硬盘)我的客户有一个有效的备份策略。每周从计算机备份到本地NAS,然后从该NAS每周上传到亚马逊网络服务S3存储桶。备份在S3存储桶中存放一周后,会转移到AWS的Glacier,以防最新的S3备份出现问题。在S3中有最新备份使得快速下载成为可能(考虑到它是一个64GB的文件),我第二天就能够从中恢复文件。

网络驱动器分段 – 许多SOHO有文件共享,这没问题。然而,如果一个文件共享可以访问网络上的每台计算机,那么你会遇到麻烦。然而,这个客户的网络是分段的,用户只能访问自己的驱动器,对于“跨账户”共享,使用一个特殊的驱动器,其用户名和密码与他们的个人文件夹不同。

Osiris很烂 – 如果你是Osiris的作者,我们必须谈谈,有几个原因。

  • 你的恶意软件没有加密任何.jpeg扩展名的文件。
  • 你的恶意软件没有加密任何.pdf扩展名的文件。
  • 你的恶意软件没有成功更改计算机的背景,只留下了2-3个勒索笔记,但桌面上一个都没有。
  • 你的恶意软件没有留下任何.html文件,而是留下了.htm文件。叹气

现在,别误会。Osiris勒索软件不是你想在野外遇到的东西,你肯定不想像我这样遇到它,当时关于它的唯一帖子只有两天旧。然而,Osiris并非没有缺陷。

我可以做得更好的地方

我本可以实施本地账户策略,以阻止在Office文档中运行宏的能力,以及运行%Temp%中的任何内容的能力。我本可以更好地教育我的最终用户。我本可以发送一封电子邮件,警告我的客户可能收到像导致我们入侵的那封邮件。最后,我本可以测试一下我对最终用户的信任是否值得。我本可以给他们所有人发送一封看起来像“那封邮件”的电子邮件,并记录谁实际打开了文档并运行了宏。这至少能让我更好地了解谁意识到了哪些威胁。

你可以做的事情

说到这里,我想给你一些简单的提示,以改善你的安全状况:

  • 备份救了我的命,它们也可以救你的命。仅仅“有备份”是不够的。你的备份必须有效,而且必须是最新的。如果你有一段时间没有检查你的备份方法,请检查一下!它总有一天会救你的命。
  • 文件共享有时是必要的邪恶,但如果你尝试这样做,可以大大降低风险。仅仅因为有人认为他们需要访问一个驱动器,并不意味着他们真的需要。这里适用最小权限的简单原则。
  • 用户教育仍然是任何IT基础设施中最薄弱的一点,也是确保你覆盖的最重要领域之一。我们经常忽视用户教育,因为“用户都是白痴,不应该被允许靠近计算机”。然而,虽然这可能属实,但这不是好做法。教育你的用户,他们将能够帮助你的程度超出你的期望。

所以,说到这里,我留给你这个问题:你的网络能处理这种入侵吗?

*Cody Smith是一位客座作者。他是一名性能工程师、网络安全爱好者,经常在推特上发布GIF。他大部分时间都在尝试跟上当前趋势、恶意软件样本、威胁和漏洞。在业余时间,他喜欢浏览网页寻找柯基犬的图片。 **哦,你也想为我们客座投稿吗?通过推特DM或通过我们的联系表发送电子邮件给我们!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次