近年来,挖矿病毒和勒索病毒肆无忌惮,许多终端电脑、服务器被感染,传播范围广,速度快,给企业和个人带来了严重的威胁。伴随信息化发展,各种各样的病毒层出不穷。一些病毒很容易清除,一些病毒却异常顽固、难以处理,挖矿病毒就是其中之一。文章主要探索防范及处理挖矿病毒的方法。结合服务器感染挖矿病毒的实际案例,通过逐一的诊断与排查,最终解决服务器感染挖矿病毒的而产生故障,为防范与解决挖矿病毒提供思路。
0 引 言
随着社会对信息资源的依赖程度越来越高,网络和信息系统安全问题愈加重要,保障网络和信息系统安全是信息化发展过程中必须要解决的重大问题。我国信息系统安全面临的形势非常严峻,必须高度重视信息系统安全。目前,挖矿病毒已经成为不法分子使用最为频繁的攻击方式之一,每年全国有大量服务器被挖矿病毒感染。本文研究了挖矿病毒的清除办法、传播方式和防范措施,以减少感染挖矿病毒的机率,降低挖矿病毒对网络信息安全的威胁。挖矿病毒会占用服务器资源,导致服务器运行缓慢,而且还可能影响重要业务与数据的安全性。结合实际处理方式,经过对挖矿病毒的研究和探索,为挖矿病毒的处理、防范提供了思路。
本单位对传统数据中心进行改造,建成了私有云平台,采用分布式技术,实现计算资源、网络资源、存储资源的池化和服务化。云平台建成后,所有业务迁移至虚拟机。感染病毒的所有服务器由资源池统一分配资源,均为虚拟机。作为本单位信息系统管理员,在服务器感染病毒后,对其进行了相应的处理。前期通过删除病毒进程等简单处理,未能彻底清除病毒。由于所有服务器在同一网段,IP地址互通,在感染病毒后,服务器之间未进行隔离,其他服务器几在天后也遭到了病毒感染。通过查找资料、研究挖矿病毒,采取了多种方法最终清除了挖矿病毒,使服务器恢复正常。
1 故障现象
服务器为学院私有云平台上建立的虚拟机,安装Windows Server 2008 R2操作系统。按照常规对服务器进行健康检查,在云计算管理平台发现网站服务器CPU使用率接近100%,服务器资源占用严重。登录网站服务器,系统运行缓慢,打开Windows任务管理器,發现多个异常PowerShell.exe进程占用了很高的CPU资源。结束异常进程,CPU资源使用率恢复正常。在第二天的服务器巡查工作中,发现另外几台服务器也发生了CPU占用率高的现象。通过信息中心360威胁感知平台发现病毒最初感染时间为“2020-06-03 07:43:37”,警告类型为“[恶意软件]远控木马”,威胁名称为“挖矿蠕虫活动事件”,结果为“失陷”,攻击源地址来自美国密歇根州兰辛市,如表1所示。服务器被挖矿病毒感染后通常会出现运行异常缓慢、没有打开任何程序但CPU占用率非常高的现象。根据查阅资料及威胁感知平台数据,结合被病毒感染后出现的现象判断服务器感染了挖矿病毒,已被黑客控制利用。作为信息系统管理员,发现服务器出现异常,必须第一时间进行处理。根据感染挖矿病毒后常见现象,进行了结束进程、杀毒等一系列操作,CPU利用率恢复到正常水平,彻底清除了挖矿病毒,使服务器恢复正常。
2 故障诊断与排除
2.1 查杀病毒
网站服务器操作系统安装360安全卫士和360杀毒软件。使用360安全卫士对操作系统进行木马查杀,未发现相关木马。使用360杀毒软件对服务器进行全盘扫描,未扫出任何病毒。把360安全卫士和杀毒软件升级到最新版本,重新查杀仍未发现任何病毒。
2.2 结束进程
查看服务器操作系统任务管理器,发现大量PowerShell.exe进程,导致CPU占用率接近100%。通过手动关闭所有PowerShell.exe进程释放CPU后,CPU利用率立即下降,恢复到正常水平。几小时后登录服务器检查,发现多个PowerShell.exe进程重启运行,CPU占用率仍达到100%。为彻底禁止Powershell.exe进程,尝试删除或重命名C:\Windows\System 32目录下的PowerShell.exe文件,但无法完成删除和重命名的操作。
2.3 专杀工具查杀
通过360天眼分析平台的威胁感知系统,发现服务器存在挖矿蠕虫活动事件,结果显示服务器感染了挖矿蠕虫病毒,攻击结果为失陷。使用驱动人生专杀工具和“永恒之蓝”下载器木马专杀工具对服务器操作系统进行全盘扫描,最终找到了PowerShell.exe等挖矿蠕虫病毒文件。对所有发现的病毒文件进行一键清理,PowerShell.exe进程被清理掉,任务管理器没有找到相关进程,CPU利用率恢复正常。但攻击并没有结束,第二天对服务器进行检查,发现PowerShell.exe进程重新运行,导致CPU使用率又接近100%。
2.4 删除定时任务
服务器感染挖矿病毒后会创建随机计划任务。使用taskkill命令暂时将服务器操作系统上的PowerShell.exe进程结束。删除定时任务,在管理工具→计划任务程序→计划任务程序库中删除可疑的计划任务。服务器感染挖矿病毒后,会对内网其他服务器进行暴力破解,继而进行扩散,所以要更改服务器密码。随即更改所有感染挖矿病毒或在同一网络的所有服务器操作系统的登录密码,增加密码的复杂度设置,由字符大小写、数字、特殊符号组成,且不小于8位数。
2.5 虚拟机防护软件扫描及策略优化
使用360网神虚拟化安全管理系统对感染病毒的主机进行全盘扫描、强力查杀;对中病毒主机执行webshell扫描。扫描出许多被病毒感染的文件,对全部文件执行清除、隔离。在虚拟化安全管理系统上增加防火墙规则,开启所有入侵防御功能,关闭445、137、139等高危端口。
2.6 使用360急救箱进行系统急救
在服务器上安装360系统急救箱。使用急救箱强力模式对系统进行急救。通过全盘扫描,扫出几个有异常的定时计划任务,全部清除。通过几天观察,未发现PowerShell.exe进程導致CPU利用率高的现象。360天眼分析平台也未提示有任何服务器感染挖矿病毒。
3 出现故障的原因分析
3.1 内部攻击
攻击者通过伪造邮件或恶意链接,诱导内网用户下载邮件中的恶意软件。黑客攻击内部电脑并获取系统权限,植入病毒,利用脚本自动化横向渗透内网部署挖矿病毒。
相关人员安全意识不足,未做好口令管理和安全防护。黑客通过某种手段获取内网办公电脑权限,采用WMI+ PowerShell的内存驻留方式实现无文件挖矿和横向感染。
3.2 漏洞利用
网站提供对外服务,服务器操作系统存在漏洞,未及时修复。并且开启了445、3389等高危端口,这些对外开放的网络端口,被攻击者利用、入侵并植入挖矿病毒。服务器之间未配置隔离,密码设置简单,导致服务期间相互感染。
3.3 虚拟机相互感染
服务器是虚拟机,而虚拟机相互之间的通讯依靠虚拟机交换机,由于虚拟交换机的宽泛性,所有的虚拟机都可以随时互相通信,当其中一台虚拟机感染病毒或存在漏洞时,攻击者便可以利用漏洞控制这台虚拟机,然后向宿主机上其他虚拟机发起攻。由于传统的硬件安全设备无法对虚拟机之间的交互进行检测防护,不能对其他虚拟机提供安全防护能力,攻击者就可以畅通无阻地攻击其他虚拟机。这就导致如果一台服务器感染病毒,其他服务器也将面临被感染的风险。
3.4 密码设置简单
服务器密码复杂度低,病毒可以通过密码暴力破解入侵服务器,植入挖矿病毒。挖矿病毒结合高级攻击技术,增加了对目标服务器感染的成功率。通过利用各种漏洞,导致大量服务器被感染挖矿病毒程序。
4 防范措施
4.1 优化服务器配置并及时更新
开启服务器防火墙,服务只开放业务端口,关闭所有不需要的高危端口,例如137、138、445、3389等。关闭服务器不需要的系统服务、默认共享。及时给服务器、操作系统、网络安全设备、常用软件安装最新的安全补丁,及时更新Web漏洞补丁、升级Web组件,防止漏洞被利用,有效抵防范已知病毒的攻击。
4.2 强化密码复杂度及登录策略
对登录服务器的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有一定的复杂度要求并定期更换。制定严格的密码策略,比如密码要定期修改、要保证足够的长度和复杂度。设置高复杂度密码,增强口令强度,并删除一些不必要的配置。设置服务器登录密码强度和登录次数限制,口令不要用一些容易被猜到的组合。在服务器配置登录失败处理功能,配置并启用结束会话、限制非法登录次数和当登录次数链接超时自动退出等相关防范措施。
各服务器要有自己独立的账号、密码体系,不能多个服务器公用一个账号、密码。重命名或删除默认账户,修改默认账户的默认密码。开启操作系统审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
4.3 漏洞防范与扫描
程序设计考虑不周会对程序本身、系统或数据带来潜在的危害,造成代码漏洞。引进业务系统,必须考虑业务代码的健壮性,避免存在高、中危漏洞。使用漏洞扫描系统定期进行漏洞扫描,在发现操作系统、应用软件、数据库等存在可以被远程利用的漏洞后应及时修复。应使用正版的操作系统软件,至少要求Windows Server 2008及以上拥有更高安全性的版本,减少病毒感染等风险。更新操作系统文件,及时修复系统漏洞,保持操作系统文件及相关软件为最新版本。
4.4 边界防护
在互联网出口和服务器区域的出口等关键位置部署防火墙或专门的防病毒网关,防止病毒在网络层面传播和扩散。设置安全设备自动更新病毒特征库。开启防病毒、入侵防御、反垃圾郵件等功能。然而上述配置不能一劳永逸,需要定期查看和分析日志,根据实际情况不断调整和优化防御策略。在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外,受控接口应拒绝所有通信。
4.5 应用层防护
增加针对应用层的安全监测、防护设备。利用相关软、硬件安全设备,能够对未知威胁的恶意行为实现早期、迅速的发现,进而对受害目标及攻击源头进行精准定位,及时发现并阻断攻击。病毒在扫描网络中漏洞主机的过程中的流量也是有特征可寻的,利用专业的安全设备及早发现并消灭病毒,避免大规模感染的发生。
4.6 终端防护
单位的终端包括电脑主机、服务器等,上述设备都需要安装正版杀毒软件,并需要及时更新它们的病毒特征库。正版的付费杀毒软件相较于免费版增加了很多功能。免费版杀毒软件通常只能查杀基本的病毒,一旦感染了顽固的病毒就很难完成杀毒工作。免费版杀毒软件安全保障程度较低,经常出现误删,在杀毒的过程中如果把重要的文件弄误删,公司也不能追究厂商的责任。而付费版的杀毒软件能够避免这种情况,即使文件被误删,也能要求相关厂商恢复。
在系统刚刚做好的时候,在服务器终端安装正规的防病毒软件,并将病毒特征库升级到最新的版本,定期对服务器进行病毒查杀,避免感染并查杀一般的病毒。
4.7 数据备份
使用备份设备对操作系统、应用系统、数据库、虚拟化设备进行备份,既能保证数据的安全,又能够快速地恢复数据及相关业务。防止感染病毒导致数据丢失或无法使用。比如系统感染了勒索病毒,会对所有的“.doc”、“.xlsx”、“.jpg”等重要文件进行加密,基本上无法对其解密。使用备份设备提高了数据安全性,为数据安全加了一道保险,可以有效降低病毒感染带来的损失。
4.8 日志采集
安装日志服务器,采集业务系统中海量日志数据,实时监控系统性能及可用性,追溯故障根源,及时发出警告,降低故障对业务访问的影响,满足智能运维监控的要求。尽早发现异常操作行为、快速排查性能故障、避免日志遭到篡改删除,满足单位全面安全审计的要求。采用日志服务器或日志审计系统对审计记录进行保护,并定期备份。
4.9 信息安全培训
各种安全技术应该与运行管理机制、相关人员思想教育与技术培训、安全规章制度建设相结合,从社会工程学的角度综合考虑。加强所有相关人员的信息安全培训,提高信息安全意识,不随意点击来源不明的邮件、文档、链接,不要访问可能携带病毒的非法网站。若在内部使用U盘,需要先进行病毒扫描查杀,确定无病毒后再完全打开使用。
5 结 论
病毒防护既要做好外部防护,也要防范内部攻击。在抵御外界攻击的同时,应该加强对内部网络环境的监控。不仅要通过技术手段防范病毒,还需要加强工作人员的信息安全培训,提高所有人员信息安全防范意识。病毒威胁千变万化,防御入侵不能一步完成。要通过监控服务器、网络状态、分析相关日志,调整和优化不合理策略,才能在最大程度上保证服务器、网络的安全性。
传统安全设备如今已经无法抵御复杂、隐蔽的APT攻击。防火墙只能针对网络层以下进行防护,需要不断完善对应用层以及相关应用协议的防护机制。对于不同的病毒,它们有其自身的特点,选择相应的专业查杀工具进行查杀也是清除病毒的技巧之一。任何网络和信息系统都无法做到绝对的安全。系统的安全工程要有一定的灵活性来适应变化,做到有层次性、体系性,既有利于系统的安全,又有利于系统的扩展。
参考文献:
[1] 郭俊英,刘卫明,张明明,等.云计算架构的网络信息安全对策分析 [J].通讯世界,2018(5):109-110.
[2] 周靖哲,陈长松.云计算架构的网络信息安全对策分析 [J].信息网络安全,2017(11):74-79.
[3] 谢尊平,彭凯.网络信息安全的危害因素和保障措施 [C] //第二十二次全国计算机安全学术交流会.全国计算机安全学术交流会论文集(第二十二卷).中国湖南张家界:中国科学技术大学出版社,2007:197-199.
作者简介:赵文军(1986.11—),男,汉族,贵州贵阳人,助理实验师,本科,主要研究方向:计算机网络、信息安全。