我的勒索软件事件复盘:备份策略与用户教育的关键作用

本文详细复盘了一次由钓鱼邮件引发的Osiris勒索软件攻击事件,探讨了备份策略的重要性、网络分段的有效性,并反思了用户教育的不足,为防范类似攻击提供实用建议。

我的勒索软件事件复盘

科迪·史密斯 //

作为信息安全专业人士,我们并非对入侵免疫。即使最强大的安全系统也无法弥补用户教育的缺失,这一点我在2016年12月痛苦地意识到了。

我的“…!@$#”时刻:

一个周日晚些时候,我正坐在桌前处理空收件箱,这时一位客户打电话给我。

“嘿,你有空吗?我好像打不开我的文件了。” “当然,怎么了?” “嗯,我能看到文件应该在的位置,但什么都打不开。所有文件看起来都不对劲。” “你能描述一下你看到的情况吗?” “所有文件图标都像白纸一样,文件名是一堆乱码,还有一个奇怪的文件扩展名。”

此时,我非常担心,“上面写着什么?” “点Osiris?我不知道我读得对不对。” “…!@#$。”

我的响应:

我迅速收拾了应对这种情况的典型“应急包”:我的苹果MacBook Pro、一台改装成Kali Linux的MacBook Air,以及几个装有各种发行版和工具的U盘。

在前往现场的途中,我做好了最坏的准备。也许这是因为我的消防员培训经历,或者只是我的偏执。无论如何,这是我预期的:

  • SOHO网络全面传播
  • 多台计算机完全数据丢失
  • 失去一位客户

然而,当我到达企业时,我意识到情况并没有我想的那么糟。虽然一位用户的文件被加密(稍后会详细说明),但勒索软件只加密了那台计算机,网络上的其他设备都没有受到影响。那么,发生了什么,又是如何发生的?让我们分解一下哪里出了问题,哪里做对了。

哪里出了问题:

简而言之,一件事出了问题。我没有教育终端用户关于最近席卷互联网的威胁。我没有教育他们“黑客”(或脚本小子)如何使用诈骗邮件通过Microsoft Office文档传递勒索软件。这是我的错,而且是我一个人的错。我为这次入侵承担责任,尽管不是我造成的。为什么?因为网络安全是我的责任,因此,发生在它身上的任何事情也都是我的责任。

用户收到了一封与我过去见过的类似的电子邮件。这是一封来自“FedEx”的邮件,声称无法将包裹投递给用户。转折点?我的用户那天确实在等一个FedEx的包裹,而且没有送达。我知道,这种情况发生的几率有多大,对吧?用户下载了文件,并在U.A.C.提示出现时愉快地输入了密码。他们启用了Excel文档的宏,然后勒索软件在整个计算机中传播。然而,与我读到的其他攻击不同,它没有在整个网络中传播。

哪里做对了:

在安全方面,我过于偏执,因此我采取了各种措施来减轻这种威胁。(显然,我做得还不够。)下面,我列出了做对的事情的概述。

  • 备份 – 如果你从未成为勒索软件的受害者,你可能不知道备份有多值得感激。(除非你拥有希捷硬盘)我的客户有一个有效的备份策略。每周从计算机备份到本地NAS,并从该NAS每周上传到亚马逊网络服务S3存储桶。备份在S3存储桶中存放一周后,会转移到AWS的Glacier,以防最新的S3备份出现问题。在S3中有最新的备份,使得我能够在第二天快速下载(考虑到它是一个64GB的文件)并从中恢复文件。

  • 网络驱动器分段 – 许多SOHO有文件共享,这没问题。然而,如果一个文件共享可以访问网络上的每台计算机,那么你会遇到麻烦。然而,这位客户的网络是分段的,用户只能访问自己的驱动器,对于“跨账户”共享,使用一个特殊的驱动器,其用户名和密码与他们的个人文件夹不同。

  • Osiris很糟糕 – 如果你是Osiris的作者,我们必须谈谈,有几个原因。

    • 你的恶意软件没有加密任何带有.jpeg扩展名的文件。
    • 你的恶意软件没有加密任何带有.pdf扩展名的文件。
    • 你的恶意软件没有成功更改计算机的背景,只留下了2-3个勒索笔记,但桌面上没有。
    • 你的恶意软件没有留下任何.html文件,而是留下了.htm文件。叹气

现在,别误会。Osiris勒索软件不是你想在野外遇到的东西,你肯定不想像我这样遇到它,当时关于它的唯一帖子只有两天旧。然而,Osiris并非没有缺点。

我可以做得更好的地方:

我可以制定本地账户策略,以阻止在Office文档中运行宏的能力,以及从%Temp%运行任何东西的能力。我可以更好地教育我的终端用户。我可以只是发一封电子邮件警告我的客户,他们可能会收到像导致我们入侵的那封邮件。最后,我可以测试一下我对终端用户的信任是否值得。我可以给他们所有人发一封看起来像“那封邮件”的电子邮件,并记录下谁实际打开了文档并运行了宏。这至少能让我更好地了解谁意识到了哪些威胁。

你可以做的事情:

说到这里,我想给你留下一些简单的提示,告诉你如何提高你的安全状况:

  • 备份救了我的命,它们也可以救你的命。仅仅“有备份”是不够的。你的备份必须有效,而且必须是最新的。如果你有一段时间没有检查你的备份方法,请检查一下!它有一天可能会救你的命。
  • 文件共享有时是必要的邪恶,但如果你尝试这样做,可以大大降低风险。仅仅因为某人认为他们需要访问一个驱动器,并不意味着他们真的需要。这里适用最小访问权限的简单原则。
  • 用户教育仍然是任何IT基础设施中最薄弱的一点,也是确保你覆盖的最重要领域之一。我们经常忽视用户教育,因为“用户都是白痴,不应该被允许靠近计算机”。然而,虽然这可能是事实,但这不是好做法。教育你的用户,他们将能够帮助你超出你的期望。

所以,说到这里,我留给你这个问题:你的网络能处理这种入侵吗?

科迪·史密斯是一位客座作者*。他是一名性能工程师、网络安全狂热者,经常发GIF推文。他大部分时间都在尝试跟上当前趋势、恶意软件样本、威胁和漏洞。在业余时间,他喜欢浏览网页寻找柯基犬的图片。 **哦,你也想为我们客座发文吗?给我们发Twitter DM,或通过我们的联系表单发邮件!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次