、簡述

根據“火絨在線支持和響應中心”平臺數據顯示，2019年中，國內遭受勒索病毒攻擊的政企逐漸增加，勒索病毒依舊是企業網絡安全的嚴重威脅之一。

犯罪組織的運營方式越發正規，通過RaaS(Ransomware-as-a-Service勒索軟件即服務)方式運營的勒索病毒愈來愈多，通過在“暗網”招收不同地區的代理進行合作，利用RDP弱口令滲透、釣魚郵件、軟件捆綁、漏洞等多種手段進行傳播。

除加密文件勒索贖金外，如Maze勒索還增加了盜取企業數據的行為，如不交付贖金將泄露被盜取的數據，逼迫企業即使在有文件備份的情況下，為了數據不被泄露不得不交付贖金，并且此行為得到其他勒索病毒運營者的認同，未來盜取數據可能成為勒索病毒的主流行為。

本文會以火絨2019年處理的勒索病毒事件內，所處理的病毒種類、數量、易受攻擊用戶等進行說明，并介紹火絨企業版對勒索病毒的防護方式與使用火絨后的安全建議。

二、2019年勒索病毒攻擊數據

根據“火絨在線支持和響應中心”平臺統計，2019年勒索病毒攻擊事件呈現以下三大特點：

病毒數量不斷上升。在2019年內，火絨攔截到的勒索病毒的種類、家族（包含變種）復雜多樣，且數量巨大，與往年相比依舊呈現上升現象。其中，活躍度前三的勒索病毒為：GlobeImposter、Crysis（Dharma）、Sodinokibi。（如下圖）

以政企單位為主。根據火絨全年內對客戶提供的技術支持得出，遭遇勒索攻擊的多為企業用戶。分析原因是由于企業用戶的網絡（如服務器）多暴露在公共網絡，加上企業多使用老舊系統存在未修復的漏洞，以及管理人員安全意識薄弱等各類因素，共同造成企業用戶較個人用戶而言，更容易被勒索病毒識別攻擊的結果。

僅以火絨提供數據顯示，典型的如制造業、電子與互聯網、醫療、政府單位以及教育行業等，在2019年內均受到較為嚴重的勒索攻擊。（如下圖）

傳播方式多樣。火絨安全2019年內處理的勒索事件中，RDP弱口令滲透依舊是勒索病毒最常見的傳播方式，占總攻擊次數的6成以上。其次為釣魚郵件傳播，通過海量釣魚郵件傳播勒索病毒。其余的攻擊方式有利用僵尸網絡傳播、利用高危漏洞傳播、使用激活工具傳播與利用下載器傳播等。（如下圖）

除了RDP弱口令滲透以外，犯罪組織還會通過釣魚郵件、僵尸網絡、激活工具、高危漏洞等方式傳播勒索病毒：

釣魚郵件會通過構造迷惑性內容，如偽裝成政府機構或快遞信息，欺騙用戶下載郵件內附件或點擊郵件內連接，使病毒成功運行。

僵尸網絡、銀行木馬等與勒索病毒的合作也越來越多，例如MegaCortex勒索病毒會通過Qakbot銀行木馬傳播，Ryuk勒索病毒會通過Trickbot銀行木馬傳播。

此外，個人用戶常會遇到以激活工具、破解軟件、下載器方式進行傳播的勒索病毒，如計算機并未安裝安全軟件，即有文件被加密的可能。例如STOP勒索會藏匿在激活工具、下載器、破解軟件內，”微信支付”勒索偽裝成薅羊毛軟件等。

三、RDP弱口令滲透與勒索病毒的相互借助

1、RDP弱口令如何成為勒索病毒的“幫手”

遠程桌面協議RDP，此協議為”遠程桌面”類工具常用協議，Windows內的"遠程桌面"，Linux內的"rdesktop"，第三方軟件"wfreerdp"均使用此協議。只需主機的賬戶與密碼，即可訪問主機內資源，多用于遠程協助與遠程運維。

犯罪組織通過RDP暴破，或于黑市上購買RDP憑證(最低只需6美元)，通過有管理員權限的賬戶進行登錄。在成功登錄后，黑客會使用Mimikatz類憑據獲取工具，獲取本機或域內憑據，用作內網滲透，同時使用內網掃描工具，尋找網絡內高價值服務器(OA、文件服務器、數據庫服務器)等，在進行文件加密前，會使用工具破壞服務器內的安全環境(關閉Windows Defender，破壞安全軟件)，以上操作成功后，運行勒索病毒加密文件。

2、RDP弱口令傳播成為勒索病毒入侵主要方式原因

在火絨2019年處理的勒索事件中，勒索病毒多選擇使用RDP進行傳播，占全部勒索事件的61%。

火絨工程師分析，出現此類問題，多為企業內存在密碼強度弱、密碼復用等安全問題，除RDP外，無論是遠程控制使用的VNC，還是Sql Server、Tomcat、FTP，都有因弱口令，被暴破成功后入侵的可能。

值得一提的是，在本文統計的2019年8款高危勒索病毒一覽（見后附錄部分）中，有6類均是以RDP弱口令滲透傳播為主。

四、勒索病毒與安全廠商的攻防趨勢

1、勒索病毒的攻擊形式不容樂觀

犯罪組織攻擊渠道不斷轉變。在過去的2019年里，勒索病毒的攻擊方式從漏洞、郵件、激活工具等大比例轉變為RDP弱口令滲透，讓安全防御難度增大。

病毒攻擊次數呈現遞增形式。雖然在過去的幾年內，安全廠商不斷研發技術，并向用戶普及勒索病毒的危害、基礎防御方法，但在利益的驅使下，勒索病毒攻擊依舊高漲，甚至形成了完整的產業鏈。

對病毒的破解手段單一。目前，絕大多數的勒索病毒使用的是非對稱的加密手段，幾乎無法破解。只有極少數的勒索病毒在使用對稱加密或主動留下密鑰，才有機會破解。

2、安全防御由單一的對抗（攔截、查殺）轉為對傳播渠道的主動封堵。

對終端進行全面加固。高危漏洞、暴露在外網的服務器、各類程序軟件的漏洞成為勒索病毒入侵終端的一大方式，因此，對系統、軟件的漏洞防御，對服務器的保護成為過去的一年中重要防御方向。

對傳播渠道的遏制。上述RDP弱口令滲透愈演愈烈，讓勒索病毒借助并大肆傳播。如何遏制此類攻擊，成為2019年后，安全領域亟待完善和加強的防御領域。

3、火絨的策略

主防的進一步加強。除了常規的病毒攔截以外，火絨在去年推出“漏洞攻擊攔截”功能、“應用加固”以及“僵尸網絡防護”、“Web服務保護”等功能都是針對終端脆弱點進行防護，極大減少勒索病毒進入的風險。

RDP登錄防護。2019年中，火絨除了在個人版5.0上新增“遠程登錄防護”功能預防弱口令滲透外，火絨企業版也推出"遠程登陸防護"功能，可通過設置IP白名單，拒絕并追蹤陌生可疑設備進行RDP登錄。此外，火絨也將RDP弱口令滲透作為重點防御領域，未來也將制定完整的防護策略，遏制此類攻擊。

五、針對勒索病毒的防御措施

1、部署安全軟件，防御以郵件、惡意捆綁、僵尸網絡等方式傳播的勒索病毒，對其查殺或阻止其運行，提高終端安全性。

2、使用復雜密碼，Windows賬戶所用密碼需符合密碼復雜度要求(密碼長度需大于等于8位，至少含有大/小寫字母、數字、特殊字符中的三種)。

3、對無相關業務的端口進行限制，例如禁用445，修改RDP默認端口3389等。如無法禁用，可對此類端口進行限制，例如對共享目錄設置相關ACL權限，在組策略內對遠程桌面登錄進行限制等。

4、及時安裝補丁，對存在漏洞的服務進行升級，防止勒索病毒通過漏洞進行傳播。

5、對重要業務、文件進行異地備份。

6、提高員工安全意識，對激活工具、可疑郵件、未知來源軟件等，謹慎打開和使用，使用陌生可移動設備前，先進行查殺。

7、火絨使用過程中，您可按照火絨官網內的《部署火絨后的安全加固建議》，對火絨進行設置，以提高安全性。

附錄：2019高危流行勒索病毒一覽

1、GlobeImposter

該病毒根據不同版本，又名"十二生肖勒索"、"十二主神勒索"等，該勒索常見后綴為".(動物、希臘主神)+444465qqz"，勒索信名稱為"HOW TO BACK YOUR FILES.exe"。

GlobeImposter自進入國內以來，主要的攻擊目標為醫療行業。主要傳播方式為RDP弱口令，在成功登陸后繼續進行內網滲透，同時加密多臺服務器內的文件，造成較大損失。由于使用RSA+AES算法對文件進行加密，被加密的文件如沒有相應的RSA私鑰基本無法解密。

2、Crysis（Dharma）

Crysis勒索病毒多通過RDP弱口令傳播，Dharma為Crysis勒索病毒變種，該勒索病毒使用RSA+AES或RSA+DES算法加密文件，在沒有相應RSA私鑰的情況下無法解密。文件后綴為此格式:"id-XXXXXXXX.[郵箱].文件后綴",勒索信名稱為"FILES ENCRYPTED.txt"、"Info.hta"。

3、Phobos

Phobos勒索病毒復用了Crysis的部分代碼，與Crysis高度相似(文件后綴與勒索信)，該勒索病毒多通過RDP弱口令進行傳播，使用RSA+AES算法加密文件，在沒有相應RSA私鑰的情況下無法解密，文件后綴為此格式".id[XXXXXXXX-XXXX].[郵箱].后綴名"或"id-XXXXXXXX.[郵箱].后綴名"，勒索信名稱為"info.txt"、"info.hta"。

4、Sodinokibi

據傳，該勒索病毒繼承了部分GandCrab勒索病毒的代碼與傳播渠道，在GandCrab停止運營后，此勒索病毒活躍度逐漸提升。該勒索多通過RDP弱口令、釣魚郵件、Oracle WebLogic CVE-2019-2725漏洞進行傳播，其中釣魚郵件多偽裝成海關、公安、法院、DHL快遞等內容。

該病毒使用Salsa20算法加密文件，目前無法解密。被加密文件后綴為5-10個隨機字符，勒索信名稱為"隨機字符-readme.txt"，在文件加密結束后，會修改桌面壁紙為藍色，并提示您文件已被加密，閱讀勒索信。

5、STOP

STOP勒索，又名STOP-Djvu勒索，該勒索多偽裝成激活工具、軟件下載器、破解軟件進行傳播。最初該勒索使用AES-256對文件進行加密，后期使用salsa20與RSA算法。該勒索較老的版本，如果加密環境不能連接黑客服務器，會選擇使用離線密鑰加密文件，此種情況下可以解密文件，如在線獲取密鑰或被新版本STOP勒索病毒加密的情況下，無法解密文件。經國外安全研究人員統計，該勒索病毒根據變種不同，文件被加密后所使用過的不同文件后綴有上百個，勒索信也根據版本有不同名稱。

6、RYUK

RYUK勒索，攻擊目標多為大型企業與政府機構，通過Emotet渠道下發的Trickbot銀行木馬進行傳播。此勒索病毒多根據企業規模進行定制性攻擊，攻擊成功后索要贖金數額巨大。該勒索使用RSA+AES算法對文件進行加密，在沒有相應RSA私鑰的情況下無法解密。被加密文件后綴多為.RYK，勒索信名稱多為"RyukReadMe.html"或"RyukReadMe.txt"。

7、MedusaLocker

MedusaLocker勒索多通過RDP弱口令傳播，早期勒索信與GlobeImposter非常相似，曾被認為是GlobeImposter的變種。該勒索病毒使用RSA+AES算法對文件進行加密，在沒有相應RSA私鑰的情況下無法解密。近期出現較多的文件后綴為".ReadTheInstructions"和".READINSTRUCTIONS"，勒索信名稱多為"RECOVER_INSTRUCTIONS.html"和"INSTRUCTIONS.html"

8、CryptON

CryptON勒索，又名X3M、Cry9等等，該勒索多通過RDP弱口令進行傳播，使用3DES和RC4算法加密文件，因加密后，密鑰文件會保存在本地(temp000000.txt)，所以該勒索可以解密。但目前發現的用戶現場內，該文件多被黑客取走，導致無法解密。目前常見的，被加密文件后綴多為"X3M"、"firex3m"、"WECANHELP"、"YOU_LAST_CHANCE"，勒索信名稱為"!!!DECRYPT MY FILES!!!.txt"、"_RESTORE FILES_.txt"。

量級目錄訪問協議（LDAP）是目前主流的身份驗證協議之一，由密歇根大學的 Tim Howes、Steve Kille 和 Wengyik Yeong 于1993年創建，又經過了 Internet 工程任務組（IETF）的標準化，通過網絡分發目錄信息，扮演了身份源（IdP）的角色。

LDAP 在現代網絡中的重要性在于該協議參與共享企業中有關用戶、設備、網絡和應用程序的全部信息，并且負責把控對 IT 資源的訪問授權。現在我們來深入了解下保障 LDAP 目錄服務用戶安全的最佳實踐。

一、LDAP 的實施

當員工需要訪問 LDAP 數據庫或使用需要經過 LDAP 認證的 IT 資源時，通常會輸入用戶名密碼然后等待目錄服務器授權。服務器收到用戶的登錄信息后會和存儲在 LDAP 數據庫中的身份憑證進行匹配，匹配一致后即可授予訪問權限。

目前最常用的一種傳統商業化 LDAP 實施（又稱目錄服務）是微軟的 Active Directory （AD）。很多企業都采用 AD 來管理用戶信息、驗證用戶訪問，而 AD 的首選驗證協議是 Kerberos。除此之外，還有很多支持 LDAP 協議的目錄服務，包括開源的 Red Hat Directory Service、OpenLDAP、Apache Directory Server 、NDS（Nington Directory Service，寧盾目錄服務）等等。

當前還出現了一種新的 LDAP 服務形態，即云 LDAP（Directory as a Service，DaaS）。

二、LDAP 中的用戶安全

存儲在 AD、OpenLDAP 等目錄服務中的憑證就是進入企業數據庫的鑰匙，這已經是公開的秘密，因此目錄服務的數據安全不言而喻。一旦黑客破解了其中一個用戶賬號，企業就需要和時間賽跑，阻止黑客訪問關鍵數據。為了避免其利用 LDAP 中的憑證獲取訪問權限，就需要未雨綢繆，首先加強 LDAP 目錄服務的賬號安全。以下是保護 LDAP 用戶安全的最佳實踐：

1. 設置密碼策略

正確的密碼策略是保護 LDAP 安全的第一步。由于 LDAP 是一種身份認證系統，因此必須完善配置，要求管理員在內的所有用戶都提供強密碼。

一個安全的 LDAP 服務應該要求用戶設置復雜難破解的密碼，也就是包含盡可能多字符的長密碼。大多數 LDAP 服務都可以設置系統內使用的密碼條件。

有些企業還會要求用戶每幾個月就輪換一次密碼，這樣會給員工帶來困擾，而且頻繁更換密碼導致用戶為了方便記憶而只設置相似密碼。

但無論企業的安全規范具體如何，使用安全度高的密碼在防止密碼泄露方面還是很重要的，所以還是建議密碼越長越好。（后文也將會講述如何避免頻繁更換密碼帶來的不滿。）

2. 保護密碼存儲

確定了合適的密碼策略后，IT 部門還必須在服務器上實施控制工具以管理密碼存儲。這里強烈建議使用哈希加密算法保護存儲的密碼，再使用加鹽哈希算法進一步增加數據庫的破解難度。需要注意的是，密碼絕不能存儲在純文本環境中。另外在傳輸過程中，還必須通過 SSL 或 TLS 對密碼進行隧道傳輸。

3. 防范 LDAP 網絡釣魚和欺騙

LDAP 欺騙攻擊一般有兩種實現方法：第一種類似于釣魚URL鏈接，通過仿冒真實的URL誘導用戶輸入真實的AD域賬號和密碼；另外一種是誘導用戶安裝惡意的瀏覽器插件，然后重定向到偽地址，同樣欺騙用戶以獲取到AD登錄信息。這樣黑客就能夠竊取到企業的敏感數據。

要避免這類LDAP欺騙攻擊必須采用強力的惡意軟件控制工具，同時針對用戶展開長期安全培訓。還有一種高效的方法是采用多因素認證（MFA），用戶只需多花幾秒鐘輸入一次性動態口令（TOTP）作為輔助憑證，即便AD賬號或LDAP賬號信息泄露，黑客拿不到輔助憑證也無濟于事，這樣就可以阻止很多潛在的攻擊。
另外，LDAP 服務的MFA方案還有一個好處，即企業無需要求用戶定期改密，動態密碼是足夠安全的 LDAP 賬號保護手段，避免了定期改密的安全規范引起的員工不滿。 為了讓用戶習慣使用多因素認證，管理員可以設置動態口令延遲啟用期，在用戶被培訓、告知后再強制員工啟用多因素認證。同時還可以設置信任終端時長/數量盡量不干擾用戶，不影響工作效率。

三、基于云的 LDAP 目錄方案

前文提到的云LDAP 服務的形態的出現，是云計算趨勢的一個體現。基于云的 LDAP 解決方案，使得企業以較少的前期投資和極少的IT人員投入，實現快速開通、啟用LDAP服務。且 LDAP 云服務的預配置模式，實現了輕量化運維，還可以根據業務增長需要靈活擴展。

對于上一章節中提到的LDAP 用戶安全最佳實踐， LDAP 云服務方案都能滿足。

NingDS 身份目錄云就是一種 LDAP 云服務，通過 LDAP 認證實現對應用程序、本地設備、VPN、NAS 等各類 IT 資源的統一安全管理，開箱即用，無需本地部署。所有數據在傳輸過程中都支持 SSL 加密，存儲在 NingDS 服務中的 LDAP 密碼也經過加密處理，有效保障憑證安全。

此外，NingDS 還內置了云 MFA 能力，LDAP 服務和 MFA 服務天然集成，可以無門檻地、無縫地將 MFA 應用于 LDAP 認證場景。

內容來源于@什么值得買APP，觀點僅代表作者本人 ｜作者：可愛的小cherry

前言

親愛的，你也不想你的NAS數據被人盜取吧？

玩NAS最重要的是什么？是服務？是性能？是耗電？在我看來，最重要的應該是數據穩定與安全保障，畢竟網絡存儲中心的初衷，就是為了保障我們的數據安全穩定。而隨著家庭NAS的普及，越來越多的朋友將NAS作為了家庭服務中心使用，各種各樣的服務一股腦兒的往上丟，卻忽視了網絡安全的重要。

舉個例子，很多qbittorrent玩家，根據網上教程部署了服務后，往往不新設置賬號密碼與端口，服務的默認端口在服務器列表上一展示，極易被“別有用心”之人爆破，登錄。倒不是說真的有那么多人來攻擊我們的個人NAS，只是通過一些簡單的設置來提高我們的NAS安全環境更有助于我們好好的保護數據。

大家好，這里是可愛的cherry。今天希望通過一篇文章，將群暉NAS中涉及到主機安全的一些內容進行梳理，幫助大家建立良好的網絡安全。

一、默認端口防護——DSM與SSH

（一）修改默認DSM端口

保護群暉系統的第一大關，修改DSM默認端口。在DSM默認端口中，HTTP是5000，HTTPS是5001，這兩個端口那就是爆破和掃描重災區。修改兩個門戶默認端口可以有效降低大部分的爆破行為。

其次是打開HTTPS的重定向，讓所有DSM訪問流量全部走HTTPS端口。啟用 HTTPS 后，與 DSM、Web Station、Photo Station、File Station、Audio Station 和 Surveillance Station 的連接將使用 SSL/TLS 進行加密，從而確保與 Synology NAS 的連接。

建議將DSM端口修改為高位端口

（二）修改默認的SSH端口

默認的SSH端口是22，屬于高危中的高危端口。修改默認的SSH端口號，依舊建議為高位端口，并不要含有22，可以有效降低SSH爆破。目前我收到最多的也是這個封鎖。

每天都會收到好幾次的SSH、SMB封鎖

二、賬號防護——權限、密碼規則、可信源、雙重驗證

建議第一時間停用admin賬號哦

（一）賬號權限

很多時候，我們需要共享文檔、服務，使用webdav，smb等共享文件服務。那么最好是根據不同場景需求建立不同權限的群組/賬號，并將具體權限分配到具體的共享文件夾、應用。

如果有多臺NAS，可以建立域/LDAP進行賬號統一管理

（二）密碼規則

通過增加密碼復雜度以防止弱口令被爆破也是安全場景中最常用的手段。增加非管理員的密碼到期時間，可以防止游客權限賬號被濫用。

管理員可以無視密碼到期，重點防護非管理員賬號的密碼

（三）啟用強制雙重驗證與賬號保護

通過雙重驗證，可以確保所有賬號登錄都通過本人認證。

啟用賬戶保護，可以以賬戶為個體，根據每個賬號不同客戶端的登錄進行保護，一旦有賬號在非信任客戶端異常登錄的，賬號直接封鎖。

自行打開雙重驗證，批準和授權碼都可以選

三、防火墻規則

在控制面板——安全性——防火墻中進行防火墻配置修改。優先級從上往下，我這邊優先級是docker>局域網>國內允許>所有拒絕。可以理解為除了中國IP和局域網IP，dockerIP，都不允許訪問NAS，有效阻止國外IP的攻擊。

優先級順序一定不能亂

四、登錄保護

登錄保護可以自動封鎖以在登錄嘗試達到預定義次數后封鎖 IP 地址。此功能適用于通過 SSH、Telnet、rsync、網絡備份、共享文件夾同步、FTP、WebDAV、Synology 移動應用程序、File Station 和 DSM 進行的登錄嘗試。

我這里設置了1分鐘失敗2次永久封禁。不小心自己都會被封禁，所有添加了局域網內白名單。這里甚至可以把白名單加到具體的一個IP上。

建議通知打開Dos防護

五、端口轉發規則

端口級的安全防護通過路由器配置來實現。我們可以定義允許轉發的端口內容，現在DSM7.2支持docker內應用的端口展示，十分方便。

習慣使用反代的值友，可以在反代中設置訪問控制配置文件，明確白名單IP。

最后

正所謂安全無小事，從使用中來看，群暉NAS提供的安全服務種類多而全面，包含了DSM、賬號、應用、權限、端口、策略等多個層級。

保護自己，保護你的NAS。

作者聲明本文無利益相關，歡迎值友理性交流，和諧討論～