3389 端口是微软远程桌面协议（RDP）的默认端口，它允许我们远程访问和控制自己的 Windows 主机，我随便用 ZoomEye 或 Shodan 搜索一下就可以发现，全球范围内依旧还有大量暴露在互联网上的3389端口：

本文将剖析勒索病毒攻击的生命周期，从3389端口的脆弱性入手，探讨攻击者如何利用RDP入侵、驻留、泄露数据，最终部署勒索病毒。

3389 的脆弱性

3389端口，是微软远程桌面协议（RDP）的默认端口，远程桌面大家都知道，类似常用的向日葵、ToDesk 和 TeamViewer，可以很方便的远控我们的主机，然而，这种远控也会伴生相当多的安全风险，攻击者可以利用暴露在互联网上的 3389 端口，入侵未受保护的系统。

为什么大家都认为把 3389 暴露出去是很危险的事呢？

首先，RDP 本身存在一些不安全特性，例如：

• 弱口令导致暴力破解：许多用户未能设置强密码或更改默认凭据，使得攻击者可以用大字典暴力破解。
• 未打补丁的漏洞：老版本的 RDP 可能存在已知的漏洞，常见的例如 CVE-2019-0708、CVE-2019-1181/CVE-2019-1182 等。
• 3389 端口暴露在互联网上：就像前面我们用 ZoomEye 或 Shodan 搜到的机器，这类机器可以说是肉鸡最佳选择之一吧。
• DDoS：这也是蛮常见的问题，即使攻击者无法通过暴力破解入侵系统，他们还可以通过UDP反射等方式发动DDoS攻击，使目标机器瘫痪，无法正常提供服务。

为了降低风险，我们可以采取以下安全措施：

• 更改默认端口： 将 RDP 端口更改为非默认端口，可以增加攻击者发现的难度（几乎没用）；
• 强密码： 设置强密码，长度足够且最好是随机密码，让暴力破解变难就行；定期更改密码也是个办法；
• 白名单： 允许特定 IP 地址或用户通过 RDP 连接，可以使用防火墙或 VPN 等技术进行限制；
• 启用网络级身份验证 (NLA)： NLA 可以增加一层安全保护，要求用户在建立 RDP 连接之前进行身份验证；
• 更新： 有更新及时安上，尽快修复已知漏洞；
• 审计： 定期看 RDP 的连接日志，早发现早治疗；

虽说上面这些措施可以降低3389端口的风险，不过最好的办法还是直接关闭3389端口，或者采用更安全的替代方案。例如，Cloudflare的零信任访问方案（Cloudflare Access）可以有效防止未经授权的远程桌面连接，从而最大程度地保护我们的机器。

https://blog.cloudflare.com/cloudflare-access-now-supports-rdp/

勒索病毒的生命周期

勒索病毒的生命周期（Life-Cycle）是指勒索病毒从入侵到完成攻击的整个过程，其生命周期可以分为以下几个关键阶段：

Step 1：初始入侵（Initial Intrusion）

钓鱼（Phishing）：攻击者通过发送恶意附件或链接，诱使我们点击并感染恶意软件。

漏洞利用（Exploiting Vulnerabilities）：利用软件或系统漏洞直接进入目标系统，前面说的利用 RDP 3389 端口就是这类方式。

恶意广告（Malvertising）：通过在线广告将恶意代码传播到目标系统。

水坑 (Watering Hole Attack): 攻击者入侵受害者常访问的网站，植入恶意代码。

社工 (Social Engineering): 攻击者通过欺骗或操纵受害者，诱使其执行恶意操作，其实钓鱼也算社工的一种吧。

Step 2：安装和持久化（Installation and Persistence）

恶意软件下载（Malware Download）：一旦进入系统，勒索病毒会下载自身或其他恶意组件。

持久化机制（Persistence Mechanisms）：使用后门、注册表修改、启动项、计划任务、创建服务等方法确保在系统重启后仍能生存。

Step 3：横移（Lateral Movement）

网络扫描（Network Scanning）：扫描网络以发现其他可攻击的设备和系统。

凭据窃取（Credential Stealing）：通过键盘记录、钓鱼、哈希传递、Golden Ticket（伪造 Kerberos 票据，获得域管理员权限）或其他手段获取有效的用户凭据。

远程访问工具（Remote Access Tools）：使用合法或非法的远程访问工具在网络中横向移动，从一个设备转移到另一个设备，扩大感染范围。

Step 4：加密和勒索（Encryption and Ransom Demands）

文件加密（File Encryption）：加密目标系统中的文件，使其无法访问。

显示勒索信息（Ransom Note Display）：向受害者显示赎金要求和支付指示的消息，通常通过加密货币支

Step 5：支付和解密（Payment and Decryption）

赎金支付（Ransom Payment）：受害者支付赎金后，攻击者可能提供解密密钥（但不保证，毕竟你属于在和 criminal 做交易）。

解密文件（File Decryption）：使用提供的解密密钥恢复文件访问（假设 criminal 守承诺）。

Step 6：数据泄露和进一步勒索（Data Exfiltration and Further Extortion）：

数据泄露（Data Exfiltration）：有些变态的勒索病毒还会在加密之前窃取敏感数据。

双重勒索（Further Extortion）：攻击者可能威胁要公开或出售窃取的数据，以逼迫受害者支付更多赎金。

以上只是一个大概，实际上勒索病毒的生命周期并不是一成不变的，不同的勒索病毒家族可能有不同的行为模式，而且入侵者可能会在各个阶段采取不同的策略和技术，以提高攻击的成功率和隐蔽性。

了解勒索病毒的生命周期，有助于我们更好地理解其攻击方式和特点，从而采取更有针对性的防范措施。

如何应对勒索病毒？

先说最坏情况，假设你的机器全被勒索病毒加密了，可以说除了交钱你没有任何办法能解密文件...就算你找安全厂商，可能某些非常古老的勒索病毒（TeslaCrypt、Petya、CryptoLocker 之类）他们有办法处理，新勒索病毒用的强加密他们也搞不定。

那有一些企业不方便交钱给勒索者，这些企业就会招标找一家安全厂商，厂商也很有默契的报一个略高于赎金的价格，交钱解密...这也算是行业内公开的秘密吧^o^

也给大伙提个醒：

大多数勒索病毒无法破解，即使可以破解，也需要很多时间和费用，最好的防御措施是预防，通过定期备份数据、更新软件、加强安全意识等措施来降低感染勒索病毒的风险。

所以早发现早治疗，提前做好防御，把勒索病毒挡在外圈即可，说说我的想法吧：

1. 定期备份：最重要的防御方式，没有之一；备份数据做好隔离，别让勒索病毒把备份也加密了就行；按照你司给出的 SLA 保障 RPO 和 RTO 即可。
2. 敏感数据：文件服务、数据库列加密、磁盘加密、应用层加密等全搞上，密钥用 KMS 管好，将损失降到最低，即使被勒索，保证敏感数据不泄露是底线。
3. 网络分段：做的越细越好，最细致的叫微隔离，我很反感安全行业创造新词的能力，whatever 各位看官理解即可。
4. 访问控制：最小权限（有难度）、强密码策略、MFA等
5. EDR、XDR、IPS、IPS 等等，从终端到网络构建好纵深，有更新有补丁尽快全量推送。

通过以上防御措施，可以大大降低勒索病毒攻击的风险，但是没有人敢保证万无一失，做好备份是第一步也是最重要的，其他步骤可以随着安全基建慢慢做。

总结

勒索病毒有点像 DDoS，没有什么特别有效的防御手段，只能预先准备好恢复和尽量降低我们的损失，特别是定期备份数据，设置敏感数据加密，实施网络分段和访问控制等是比较有效的方式。尽管没有绝对的安全保障，但通过这些措施可以大大降低被勒索病毒攻击的风险，确保企业和个人的数据安全。

总之做好备份是防御勒索病毒的第一步，也是最重要的一步，其它安全措施可以随着你做安全基建的同时逐步完善。希望本文的内容能帮助大家更好地应对和防范勒索病毒攻击。