、简述

根据“火绒在线支持和响应中心”平台数据显示，2019年中，国内遭受勒索病毒攻击的政企逐渐增加，勒索病毒依旧是企业网络安全的严重威胁之一。

犯罪组织的运营方式越发正规，通过RaaS(Ransomware-as-a-Service勒索软件即服务)方式运营的勒索病毒愈来愈多，通过在“暗网”招收不同地区的代理进行合作，利用RDP弱口令渗透、钓鱼邮件、软件捆绑、漏洞等多种手段进行传播。

除加密文件勒索赎金外，如Maze勒索还增加了盗取企业数据的行为，如不交付赎金将泄露被盗取的数据，逼迫企业即使在有文件备份的情况下，为了数据不被泄露不得不交付赎金，并且此行为得到其他勒索病毒运营者的认同，未来盗取数据可能成为勒索病毒的主流行为。

本文会以火绒2019年处理的勒索病毒事件内，所处理的病毒种类、数量、易受攻击用户等进行说明，并介绍火绒企业版对勒索病毒的防护方式与使用火绒后的安全建议。

二、2019年勒索病毒攻击数据

根据“火绒在线支持和响应中心”平台统计，2019年勒索病毒攻击事件呈现以下三大特点：

病毒数量不断上升。在2019年内，火绒拦截到的勒索病毒的种类、家族（包含变种）复杂多样，且数量巨大，与往年相比依旧呈现上升现象。其中，活跃度前三的勒索病毒为：GlobeImposter、Crysis（Dharma）、Sodinokibi。（如下图）

以政企单位为主。根据火绒全年内对客户提供的技术支持得出，遭遇勒索攻击的多为企业用户。分析原因是由于企业用户的网络（如服务器）多暴露在公共网络，加上企业多使用老旧系统存在未修复的漏洞，以及管理人员安全意识薄弱等各类因素，共同造成企业用户较个人用户而言，更容易被勒索病毒识别攻击的结果。

仅以火绒提供数据显示，典型的如制造业、电子与互联网、医疗、政府单位以及教育行业等，在2019年内均受到较为严重的勒索攻击。（如下图）

传播方式多样。火绒安全2019年内处理的勒索事件中，RDP弱口令渗透依旧是勒索病毒最常见的传播方式，占总攻击次数的6成以上。其次为钓鱼邮件传播，通过海量钓鱼邮件传播勒索病毒。其余的攻击方式有利用僵尸网络传播、利用高危漏洞传播、使用激活工具传播与利用下载器传播等。（如下图）

除了RDP弱口令渗透以外，犯罪组织还会通过钓鱼邮件、僵尸网络、激活工具、高危漏洞等方式传播勒索病毒：

钓鱼邮件会通过构造迷惑性内容，如伪装成政府机构或快递信息，欺骗用户下载邮件内附件或点击邮件内连接，使病毒成功运行。

僵尸网络、银行木马等与勒索病毒的合作也越来越多，例如MegaCortex勒索病毒会通过Qakbot银行木马传播，Ryuk勒索病毒会通过Trickbot银行木马传播。

此外，个人用户常会遇到以激活工具、破解软件、下载器方式进行传播的勒索病毒，如计算机并未安装安全软件，即有文件被加密的可能。例如STOP勒索会藏匿在激活工具、下载器、破解软件内，”微信支付”勒索伪装成薅羊毛软件等。

三、RDP弱口令渗透与勒索病毒的相互借助

1、RDP弱口令如何成为勒索病毒的“帮手”

远程桌面协议RDP，此协议为”远程桌面”类工具常用协议，Windows内的"远程桌面"，Linux内的"rdesktop"，第三方软件"wfreerdp"均使用此协议。只需主机的账户与密码，即可访问主机内资源，多用于远程协助与远程运维。

犯罪组织通过RDP暴破，或于黑市上购买RDP凭证(最低只需6美元)，通过有管理员权限的账户进行登录。在成功登录后，黑客会使用Mimikatz类凭据获取工具，获取本机或域内凭据，用作内网渗透，同时使用内网扫描工具，寻找网络内高价值服务器(OA、文件服务器、数据库服务器)等，在进行文件加密前，会使用工具破坏服务器内的安全环境(关闭Windows Defender，破坏安全软件)，以上操作成功后，运行勒索病毒加密文件。

2、RDP弱口令传播成为勒索病毒入侵主要方式原因

在火绒2019年处理的勒索事件中，勒索病毒多选择使用RDP进行传播，占全部勒索事件的61%。

火绒工程师分析，出现此类问题，多为企业内存在密码强度弱、密码复用等安全问题，除RDP外，无论是远程控制使用的VNC，还是Sql Server、Tomcat、FTP，都有因弱口令，被暴破成功后入侵的可能。

值得一提的是，在本文统计的2019年8款高危勒索病毒一览（见后附录部分）中，有6类均是以RDP弱口令渗透传播为主。

四、勒索病毒与安全厂商的攻防趋势

1、勒索病毒的攻击形式不容乐观

犯罪组织攻击渠道不断转变。在过去的2019年里，勒索病毒的攻击方式从漏洞、邮件、激活工具等大比例转变为RDP弱口令渗透，让安全防御难度增大。

病毒攻击次数呈现递增形式。虽然在过去的几年内，安全厂商不断研发技术，并向用户普及勒索病毒的危害、基础防御方法，但在利益的驱使下，勒索病毒攻击依旧高涨，甚至形成了完整的产业链。

对病毒的破解手段单一。目前，绝大多数的勒索病毒使用的是非对称的加密手段，几乎无法破解。只有极少数的勒索病毒在使用对称加密或主动留下密钥，才有机会破解。

2、安全防御由单一的对抗（拦截、查杀）转为对传播渠道的主动封堵。

对终端进行全面加固。高危漏洞、暴露在外网的服务器、各类程序软件的漏洞成为勒索病毒入侵终端的一大方式，因此，对系统、软件的漏洞防御，对服务器的保护成为过去的一年中重要防御方向。

对传播渠道的遏制。上述RDP弱口令渗透愈演愈烈，让勒索病毒借助并大肆传播。如何遏制此类攻击，成为2019年后，安全领域亟待完善和加强的防御领域。

3、火绒的策略

主防的进一步加强。除了常规的病毒拦截以外，火绒在去年推出“漏洞攻击拦截”功能、“应用加固”以及“僵尸网络防护”、“Web服务保护”等功能都是针对终端脆弱点进行防护，极大减少勒索病毒进入的风险。

RDP登录防护。2019年中，火绒除了在个人版5.0上新增“远程登录防护”功能预防弱口令渗透外，火绒企业版也推出"远程登陆防护"功能，可通过设置IP白名单，拒绝并追踪陌生可疑设备进行RDP登录。此外，火绒也将RDP弱口令渗透作为重点防御领域，未来也将制定完整的防护策略，遏制此类攻击。

五、针对勒索病毒的防御措施

1、部署安全软件，防御以邮件、恶意捆绑、僵尸网络等方式传播的勒索病毒，对其查杀或阻止其运行，提高终端安全性。

2、使用复杂密码，Windows账户所用密码需符合密码复杂度要求(密码长度需大于等于8位，至少含有大/小写字母、数字、特殊字符中的三种)。

3、对无相关业务的端口进行限制，例如禁用445，修改RDP默认端口3389等。如无法禁用，可对此类端口进行限制，例如对共享目录设置相关ACL权限，在组策略内对远程桌面登录进行限制等。

4、及时安装补丁，对存在漏洞的服务进行升级，防止勒索病毒通过漏洞进行传播。

5、对重要业务、文件进行异地备份。

6、提高员工安全意识，对激活工具、可疑邮件、未知来源软件等，谨慎打开和使用，使用陌生可移动设备前，先进行查杀。

7、火绒使用过程中，您可按照火绒官网内的《部署火绒后的安全加固建议》，对火绒进行设置，以提高安全性。

附录：2019高危流行勒索病毒一览

1、GlobeImposter

该病毒根据不同版本，又名"十二生肖勒索"、"十二主神勒索"等，该勒索常见后缀为".(动物、希腊主神)+444465qqz"，勒索信名称为"HOW TO BACK YOUR FILES.exe"。

GlobeImposter自进入国内以来，主要的攻击目标为医疗行业。主要传播方式为RDP弱口令，在成功登陆后继续进行内网渗透，同时加密多台服务器内的文件，造成较大损失。由于使用RSA+AES算法对文件进行加密，被加密的文件如没有相应的RSA私钥基本无法解密。

2、Crysis（Dharma）

Crysis勒索病毒多通过RDP弱口令传播，Dharma为Crysis勒索病毒变种，该勒索病毒使用RSA+AES或RSA+DES算法加密文件，在没有相应RSA私钥的情况下无法解密。文件后缀为此格式:"id-XXXXXXXX.[邮箱].文件后缀",勒索信名称为"FILES ENCRYPTED.txt"、"Info.hta"。

3、Phobos

Phobos勒索病毒复用了Crysis的部分代码，与Crysis高度相似(文件后缀与勒索信)，该勒索病毒多通过RDP弱口令进行传播，使用RSA+AES算法加密文件，在没有相应RSA私钥的情况下无法解密，文件后缀为此格式".id[XXXXXXXX-XXXX].[邮箱].后缀名"或"id-XXXXXXXX.[邮箱].后缀名"，勒索信名称为"info.txt"、"info.hta"。

4、Sodinokibi

据传，该勒索病毒继承了部分GandCrab勒索病毒的代码与传播渠道，在GandCrab停止运营后，此勒索病毒活跃度逐渐提升。该勒索多通过RDP弱口令、钓鱼邮件、Oracle WebLogic CVE-2019-2725漏洞进行传播，其中钓鱼邮件多伪装成海关、公安、法院、DHL快递等内容。

该病毒使用Salsa20算法加密文件，目前无法解密。被加密文件后缀为5-10个随机字符，勒索信名称为"随机字符-readme.txt"，在文件加密结束后，会修改桌面壁纸为蓝色，并提示您文件已被加密，阅读勒索信。

5、STOP

STOP勒索，又名STOP-Djvu勒索，该勒索多伪装成激活工具、软件下载器、破解软件进行传播。最初该勒索使用AES-256对文件进行加密，后期使用salsa20与RSA算法。该勒索较老的版本，如果加密环境不能连接黑客服务器，会选择使用离线密钥加密文件，此种情况下可以解密文件，如在线获取密钥或被新版本STOP勒索病毒加密的情况下，无法解密文件。经国外安全研究人员统计，该勒索病毒根据变种不同，文件被加密后所使用过的不同文件后缀有上百个，勒索信也根据版本有不同名称。

6、RYUK

RYUK勒索，攻击目标多为大型企业与政府机构，通过Emotet渠道下发的Trickbot银行木马进行传播。此勒索病毒多根据企业规模进行定制性攻击，攻击成功后索要赎金数额巨大。该勒索使用RSA+AES算法对文件进行加密，在没有相应RSA私钥的情况下无法解密。被加密文件后缀多为.RYK，勒索信名称多为"RyukReadMe.html"或"RyukReadMe.txt"。

7、MedusaLocker

MedusaLocker勒索多通过RDP弱口令传播，早期勒索信与GlobeImposter非常相似，曾被认为是GlobeImposter的变种。该勒索病毒使用RSA+AES算法对文件进行加密，在没有相应RSA私钥的情况下无法解密。近期出现较多的文件后缀为".ReadTheInstructions"和".READINSTRUCTIONS"，勒索信名称多为"RECOVER_INSTRUCTIONS.html"和"INSTRUCTIONS.html"

8、CryptON

CryptON勒索，又名X3M、Cry9等等，该勒索多通过RDP弱口令进行传播，使用3DES和RC4算法加密文件，因加密后，密钥文件会保存在本地(temp000000.txt)，所以该勒索可以解密。但目前发现的用户现场内，该文件多被黑客取走，导致无法解密。目前常见的，被加密文件后缀多为"X3M"、"firex3m"、"WECANHELP"、"YOU_LAST_CHANCE"，勒索信名称为"!!!DECRYPT MY FILES!!!.txt"、"_RESTORE FILES_.txt"。

量级目录访问协议（LDAP）是目前主流的身份验证协议之一，由密歇根大学的 Tim Howes、Steve Kille 和 Wengyik Yeong 于1993年创建，又经过了 Internet 工程任务组（IETF）的标准化，通过网络分发目录信息，扮演了身份源（IdP）的角色。

LDAP 在现代网络中的重要性在于该协议参与共享企业中有关用户、设备、网络和应用程序的全部信息，并且负责把控对 IT 资源的访问授权。现在我们来深入了解下保障 LDAP 目录服务用户安全的最佳实践。

一、LDAP 的实施

当员工需要访问 LDAP 数据库或使用需要经过 LDAP 认证的 IT 资源时，通常会输入用户名密码然后等待目录服务器授权。服务器收到用户的登录信息后会和存储在 LDAP 数据库中的身份凭证进行匹配，匹配一致后即可授予访问权限。

目前最常用的一种传统商业化 LDAP 实施（又称目录服务）是微软的 Active Directory （AD）。很多企业都采用 AD 来管理用户信息、验证用户访问，而 AD 的首选验证协议是 Kerberos。除此之外，还有很多支持 LDAP 协议的目录服务，包括开源的 Red Hat Directory Service、OpenLDAP、Apache Directory Server 、NDS（Nington Directory Service，宁盾目录服务）等等。

当前还出现了一种新的 LDAP 服务形态，即云 LDAP（Directory as a Service，DaaS）。

二、LDAP 中的用户安全

存储在 AD、OpenLDAP 等目录服务中的凭证就是进入企业数据库的钥匙，这已经是公开的秘密，因此目录服务的数据安全不言而喻。一旦黑客破解了其中一个用户账号，企业就需要和时间赛跑，阻止黑客访问关键数据。为了避免其利用 LDAP 中的凭证获取访问权限，就需要未雨绸缪，首先加强 LDAP 目录服务的账号安全。以下是保护 LDAP 用户安全的最佳实践：

1. 设置密码策略

正确的密码策略是保护 LDAP 安全的第一步。由于 LDAP 是一种身份认证系统，因此必须完善配置，要求管理员在内的所有用户都提供强密码。

一个安全的 LDAP 服务应该要求用户设置复杂难破解的密码，也就是包含尽可能多字符的长密码。大多数 LDAP 服务都可以设置系统内使用的密码条件。

有些企业还会要求用户每几个月就轮换一次密码，这样会给员工带来困扰，而且频繁更换密码导致用户为了方便记忆而只设置相似密码。

但无论企业的安全规范具体如何，使用安全度高的密码在防止密码泄露方面还是很重要的，所以还是建议密码越长越好。（后文也将会讲述如何避免频繁更换密码带来的不满。）

2. 保护密码存储

确定了合适的密码策略后，IT 部门还必须在服务器上实施控制工具以管理密码存储。这里强烈建议使用哈希加密算法保护存储的密码，再使用加盐哈希算法进一步增加数据库的破解难度。需要注意的是，密码绝不能存储在纯文本环境中。另外在传输过程中，还必须通过 SSL 或 TLS 对密码进行隧道传输。

3. 防范 LDAP 网络钓鱼和欺骗

LDAP 欺骗攻击一般有两种实现方法：第一种类似于钓鱼URL链接，通过仿冒真实的URL诱导用户输入真实的AD域账号和密码；另外一种是诱导用户安装恶意的浏览器插件，然后重定向到伪地址，同样欺骗用户以获取到AD登录信息。这样黑客就能够窃取到企业的敏感数据。

要避免这类LDAP欺骗攻击必须采用强力的恶意软件控制工具，同时针对用户展开长期安全培训。还有一种高效的方法是采用多因素认证（MFA），用户只需多花几秒钟输入一次性动态口令（TOTP）作为辅助凭证，即便AD账号或LDAP账号信息泄露，黑客拿不到辅助凭证也无济于事，这样就可以阻止很多潜在的攻击。
另外，LDAP 服务的MFA方案还有一个好处，即企业无需要求用户定期改密，动态密码是足够安全的 LDAP 账号保护手段，避免了定期改密的安全规范引起的员工不满。 为了让用户习惯使用多因素认证，管理员可以设置动态口令延迟启用期，在用户被培训、告知后再强制员工启用多因素认证。同时还可以设置信任终端时长/数量尽量不干扰用户，不影响工作效率。

三、基于云的 LDAP 目录方案

前文提到的云LDAP 服务的形态的出现，是云计算趋势的一个体现。基于云的 LDAP 解决方案，使得企业以较少的前期投资和极少的IT人员投入，实现快速开通、启用LDAP服务。且 LDAP 云服务的预配置模式，实现了轻量化运维，还可以根据业务增长需要灵活扩展。

对于上一章节中提到的LDAP 用户安全最佳实践， LDAP 云服务方案都能满足。

NingDS 身份目录云就是一种 LDAP 云服务，通过 LDAP 认证实现对应用程序、本地设备、VPN、NAS 等各类 IT 资源的统一安全管理，开箱即用，无需本地部署。所有数据在传输过程中都支持 SSL 加密，存储在 NingDS 服务中的 LDAP 密码也经过加密处理，有效保障凭证安全。

此外，NingDS 还内置了云 MFA 能力，LDAP 服务和 MFA 服务天然集成，可以无门槛地、无缝地将 MFA 应用于 LDAP 认证场景。

内容来源于@什么值得买APP，观点仅代表作者本人 ｜作者：可爱的小cherry

前言

亲爱的，你也不想你的NAS数据被人盗取吧？

玩NAS最重要的是什么？是服务？是性能？是耗电？在我看来，最重要的应该是数据稳定与安全保障，毕竟网络存储中心的初衷，就是为了保障我们的数据安全稳定。而随着家庭NAS的普及，越来越多的朋友将NAS作为了家庭服务中心使用，各种各样的服务一股脑儿的往上丢，却忽视了网络安全的重要。

举个例子，很多qbittorrent玩家，根据网上教程部署了服务后，往往不新设置账号密码与端口，服务的默认端口在服务器列表上一展示，极易被“别有用心”之人爆破，登录。倒不是说真的有那么多人来攻击我们的个人NAS，只是通过一些简单的设置来提高我们的NAS安全环境更有助于我们好好的保护数据。

大家好，这里是可爱的cherry。今天希望通过一篇文章，将群晖NAS中涉及到主机安全的一些内容进行梳理，帮助大家建立良好的网络安全。

一、默认端口防护——DSM与SSH

（一）修改默认DSM端口

保护群晖系统的第一大关，修改DSM默认端口。在DSM默认端口中，HTTP是5000，HTTPS是5001，这两个端口那就是爆破和扫描重灾区。修改两个门户默认端口可以有效降低大部分的爆破行为。

其次是打开HTTPS的重定向，让所有DSM访问流量全部走HTTPS端口。启用 HTTPS 后，与 DSM、Web Station、Photo Station、File Station、Audio Station 和 Surveillance Station 的连接将使用 SSL/TLS 进行加密，从而确保与 Synology NAS 的连接。

建议将DSM端口修改为高位端口

（二）修改默认的SSH端口

默认的SSH端口是22，属于高危中的高危端口。修改默认的SSH端口号，依旧建议为高位端口，并不要含有22，可以有效降低SSH爆破。目前我收到最多的也是这个封锁。

每天都会收到好几次的SSH、SMB封锁

二、账号防护——权限、密码规则、可信源、双重验证

建议第一时间停用admin账号哦

（一）账号权限

很多时候，我们需要共享文档、服务，使用webdav，smb等共享文件服务。那么最好是根据不同场景需求建立不同权限的群组/账号，并将具体权限分配到具体的共享文件夹、应用。

如果有多台NAS，可以建立域/LDAP进行账号统一管理

（二）密码规则

通过增加密码复杂度以防止弱口令被爆破也是安全场景中最常用的手段。增加非管理员的密码到期时间，可以防止游客权限账号被滥用。

管理员可以无视密码到期，重点防护非管理员账号的密码

（三）启用强制双重验证与账号保护

通过双重验证，可以确保所有账号登录都通过本人认证。

启用账户保护，可以以账户为个体，根据每个账号不同客户端的登录进行保护，一旦有账号在非信任客户端异常登录的，账号直接封锁。

自行打开双重验证，批准和授权码都可以选

三、防火墙规则

在控制面板——安全性——防火墙中进行防火墙配置修改。优先级从上往下，我这边优先级是docker>局域网>国内允许>所有拒绝。可以理解为除了中国IP和局域网IP，dockerIP，都不允许访问NAS，有效阻止国外IP的攻击。

优先级顺序一定不能乱

四、登录保护

登录保护可以自动封锁以在登录尝试达到预定义次数后封锁 IP 地址。此功能适用于通过 SSH、Telnet、rsync、网络备份、共享文件夹同步、FTP、WebDAV、Synology 移动应用程序、File Station 和 DSM 进行的登录尝试。

我这里设置了1分钟失败2次永久封禁。不小心自己都会被封禁，所有添加了局域网内白名单。这里甚至可以把白名单加到具体的一个IP上。

建议通知打开Dos防护

五、端口转发规则

端口级的安全防护通过路由器配置来实现。我们可以定义允许转发的端口内容，现在DSM7.2支持docker内应用的端口展示，十分方便。

习惯使用反代的值友，可以在反代中设置访问控制配置文件，明确白名单IP。

最后

正所谓安全无小事，从使用中来看，群晖NAS提供的安全服务种类多而全面，包含了DSM、账号、应用、权限、端口、策略等多个层级。

保护自己，保护你的NAS。

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～