程序员大战勒索病毒，保卫双十一最后的堡垒

A公司的安全运维负责人老张迅速放下手中的盒饭闻声赶来，飞快地敲打着键盘，调取出IDS（入侵检测系统）的监测信息，画面上陡增的曲线显示——大量可疑流量正在对公司内网持续进行密码爆破。

“攻击者正在尝试爆破其他电脑！”老张快速在白板上写下作战分工，“你们组负责排查中毒终端，你们组摇人快速隔离内网，这个点可千万不能出岔子……”

A公司是一家知名连锁零售品牌，线上线下都在备战双十一，总部大楼灯火通明。此时已是10月23日晚上9点多，距离双十一预售开启只有不到24小时。全公司有超过500台电脑终端，若不及时阻止勒索病毒扩散，大促活动将面临瘫痪风险，后果不堪设想。

接到A公司的求助消息后，腾讯安全专家迅速拉起腾讯会议远程驰援。

腾讯安全专家Leo远程对A公司内网环境进行了“地毯式”排查，发现形势并不乐观。A公司的终端类型很多，同时操作系统横跨xp到Win10多个版本，这给防护带来很大的挑战。

一般来说，勒索病毒传播有两种方式，一种是人工入侵式，攻击者会使用邮件、IM（及时通讯工具）进行钓鱼，或者探测公网暴露的端口进行漏洞利用或者爆破登录。从而控制目标终端，进行远程的勒索病毒投放。另外一种是病毒传播式，就是利用已知的漏洞编写相应的自动化利用工具，通过各种第三方软件网站进行供应链攻击来传播。WannaCry就是利用“永恒之蓝”系统漏洞，实现大范围超快速扩散的。而系统版本越低的电脑，漏洞则越多。

“马上关闭不必要的网络端口，445、135、139这些都关闭，3389、5900 等端口进行白名单配置，只允许白名单内的IP连接登陆。然后关闭不必要的文件共享……”Leo快速给出建议。这是感染病毒后的第一防护举措，需要把所有风险敞口都收敛。

Leo研究发现，最先中毒的电脑就是一台Win7老终端，员工在邮件里点击了黑客的恶意脚本，导致电脑中所有文件都被加密。而让Leo震惊的是，加密后的文件扩展名都是“HLJkNskOq ”的随机静态形式，这是业内知名的勒索“大魔王”——Lockbit3.0勒索病毒的最新扩展名。

LockBit号称是全世界加密速度最快的勒索病毒，能在4分半完成100G数据加密，并且其使用RSA+AES 算法加密，被加密的文档几乎没有恢复的可能。近年来，受害者快速增长，波音、泰国气象局、法国司法部、曼谷航空公司以及多家政府机构都曾遭其“毒手”。

与其他勒索病毒一样，攻击者在被锁电脑的桌面上留下了赎金地址，要求A公司支付10万usdt（加密货币，约80万人民币）拿“钥匙”。在紧要关头遇上“大魔头”，老张头皮发麻，“明天就是双十一预售了，如果终端全部失陷，双十一活动直接完蛋，公司的损失可能是赎金的几十倍。现在最要紧的是防止内网的500台终端被爆破！”

与勒索病毒赛跑

保卫最后500座堡垒

“关闭不必要的网络端口后，第二步就是部署腾讯零信任iOA加固内网，保护未感染终端；第三步，清理失陷终端的病毒并溯源攻击链路。”Leo说。 

这是一场与勒索病毒赛跑的战役，A公司的终端环境复杂，低版本的系统随时都有可能被漏洞利用，实现勒索病毒的快速传播，而高版本的系统被密码爆破大概需要十几二十分钟的时间。所以，这场500台终端的双十一保卫战可以说只有20分钟。

腾讯零信任iOA SaaS版支持快速部署，在会议开始的10分钟里，腾讯安全的技术专家已经为A公司500多台终端安装部署了腾讯零信任iOA，为内网架起一层金钟罩。据Leo分析，人工入侵式的第一步就是爆破RDP端口，然后破坏杀软->投放勒索病毒->横向移动。腾讯零信任iOA具备爆破防护、RDP二次认证、端口隐藏和密码加固等能力，可以有效阻挡爆破入侵。

部署完腾讯零信任iOA后，老张松了一口气。此时，排查结果也出来了，目前中勒索病毒的终端有三台，虽然失陷的面积并不大，但这几台终端一直在横向移动对同网段内的其它终端做扫描和爆破攻击。

所以，第二步需要清理失陷终端上的病毒。老张在中毒终端上找到导致中毒的关键文件，用iOA杀掉了关键进程并清除了落地的感染文件。同时，还在注册表中发现了自启动的恶意程序，IDS监测到的横向爆破和漏洞扫描便是来自于这个程序。全部清除之后，IDS的监测画面恢复了正常。

“零号病人”原来是门店电脑

故事到这并没有结束。A公司的安全运维人员溯源攻击链路时发现，“零号病人”并不是总部的那台Win7老终端，而是——广州某门店的一台电脑。这台电脑并未安装杀毒软件，所以攻击者通过一封钓鱼邮件轻松攻陷。

成功入侵后，攻击者以门店电脑为据点，进一步扫描A公司总部内网所有终端，发现这3台终端存在暴露端口且有弱密码，进而发起新一轮的攻击。

令老张不解的是，总部的这三台终端都安装了杀毒软件，为什么仍然中毒了。“LockBit团伙攻击手法非常先进，他们通过爆破攻击拿下内网终端后，会用各种手段破坏终端上的杀毒软件，实现勒索病毒的投放，因此需要自保护能力非常强的防护产品。”Leo解释道，“在自保护外，安全防护产品要能对RDP登录等风险路径进行加固，比如在RDP登录路径上设置二次身份验证，通过对接企业IAM身份系统再次验证员工信息，这样才能有更强的安全性保障。”

前文提到，人工入侵式包含爆破入侵、破坏杀软、病毒运行、 加密数据、横向移动 5个阶段，而病毒传播式主要包含后三个阶段。因此，针对入侵攻击的5个阶段，腾讯iOA融入零信任身份机制分别从攻击者源头身份、杀软、样本、数据、设备五个维度构建防御体系。

在清除完3台终端的勒索病毒之后，Leo重新给这几台终端部署了腾讯iOA，提取病毒之后在iOA环境模拟感染，验证防护效果。在模拟环境重，病毒落地之后就被iOA查杀。手动放过之后继续运行病毒，立马就触发了诱饵文件的拦截，再次手动允许之后，iOA立马就拦截了横向爆破的攻击行为。可以看出，iOA在勒索病毒的每一个关键节点，都能很好的拦截和防护。

10月23日晚上11点多，A公司的勒索病毒对抗战告一段落，不仅及时遏制了病毒的大规模传播，还免交将近80万赎金。腾讯安全专家在协助清除勒索病毒之后，通过iOA对所有存在的漏洞和感染的病毒进行全面的扫描，最终协助修复千余个漏洞，同时在其它终端检出二十余个遗留的木马、蠕虫、病毒文件。

Leo表示，像A公司这样的知名连锁零售品牌是勒索病毒攻击的重点，他们的店铺遍布全国，互联网暴露面极大，而且很多门店安全意识薄弱，大部分电脑都处于“裸奔”状态。

“Lockbit现在已经将勒索做成了一条产业链，他们倡导‘勒索软件即服务（RaaS）’，从勒索软件开发到销售再到运营，各个环节均已成熟。在这套RaaS模式中，高额的分成吸引了大量勒索攻击团队，目前Lockbit至少有100＋附属组织。”Leo说，“全球网络安全形势日益严峻，企业应该更加注重安全免疫力的建设。”