背景

大家好！我是瘋狂的程序員。在遠(yuǎn)程終端工具中，secureCrt 和 XShell 是兩款比較有名的遠(yuǎn)程工具，但是功能受限且收費(fèi)。今天給大家推款一款免費(fèi)開源的遠(yuǎn)程終端工具——WindTerm。完全免費(fèi)，可用于商業(yè)和非商業(yè)用途，無任何限制。如果你目前正在尋找新的遠(yuǎn)程終端管理工具，不妨試試它。它的功能會讓你驚嘆的！截止目前github star已有20.8K。

官網(wǎng)介紹

A Quicker and better SSH/Telnet/Serial/Shell/Sftp client for DevOps.

它是一個(gè)更快、更好的SSH/Telnet/Serial/Shell/SFTP客戶端，專為DevOps而設(shè)計(jì)。

特征

我這里列舉下我比較關(guān)心的一些特征，更多的可以去官網(wǎng)了解，文章結(jié)尾我會把開源地址發(fā)出來。

• 支持 Windows、MacOS 和 Linux
• 支持多語言用戶界面
• 會話對話框和會話樹
• 同步輸入（這個(gè)功能我本人非常喜歡）
• 支持鎖屏
• 自由打字模式
• 免安裝、解壓即可使用
• 高性能、低內(nèi)存、低延遲
• 集成sftp、scp客戶端，支持下載、上傳、刪除、重命名、新建文件/目錄等
• 集成的本地文件管理器，支持移動到、復(fù)制到、復(fù)制自、刪除、重命名、創(chuàng)建新文件/目錄等
• 支持 Windows Cmd、PowerShell 和 Cmd、PowerShell 作為管理員

使用

1. 下載Releases · kingToolbox/WindTerm · GitHub

2. 安裝

解壓即可

3. 進(jìn)入首頁，添加遠(yuǎn)程地址

4. 添加遠(yuǎn)程

5. 同步輸入功能（這個(gè)功能我太喜歡了）同步輸入：允許用戶同時(shí)向多個(gè)打開的會話發(fā)送文本。若要啟動同步輸入，只需將相關(guān)會話添加到同一同步通道即可。類似地，要停止同步輸入，您只需要讓會話離開相應(yīng)的通道。WindTerm最多可支持4個(gè)同步通道。

6. 支持鎖屏。WindTerm非常重視您的SSH安全和隱私，當(dāng)您暫時(shí)離開或不使用WindTerm時(shí)，您可以隨時(shí)鎖定屏幕。屏幕鎖定后，只有在輸入正確的主密碼后才能解鎖WindTerm，否則任何打開的會話的內(nèi)容都將不再可讀寫。此外，當(dāng)WindTerm空閑一段時(shí)間時(shí)，它將自動鎖定屏幕。默認(rèn)鎖定時(shí)間為30分鐘。默認(rèn)快捷鍵：Ctrl+Alt+L。

7. 自由打字模式。自由類型模式允許您使用鼠標(biāo)快速移動光標(biāo)、選擇文本和拖放文本，無論是在鍵入shell命令時(shí)，還是在VI、Emacs等應(yīng)用程序中，一切都像在文本編輯器中一樣方便。

8. 快捷、方便的資源管理器窗口

9. 支持多行文本的粘貼復(fù)制。粘貼對話框支持編輯多行文本，并在粘貼前轉(zhuǎn)換制表符和行尾符號。還允許發(fā)件人逐行發(fā)送粘貼的文本。

10. 支持自定義快捷鍵

我只是在拋磚引玉，還有很好好用的功能等你來探索。

開源地址

https://github.com/kingToolbox/WindTerm

總結(jié)

合適的工具至關(guān)重要，能極大地提升工作的效率和質(zhì)量。大家覺得不錯(cuò)點(diǎn)贊給個(gè)關(guān)注唄。關(guān)注我每天分享不一樣的開源軟件和服務(wù)。

3389 端口是微軟遠(yuǎn)程桌面協(xié)議（RDP）的默認(rèn)端口，它允許我們遠(yuǎn)程訪問和控制自己的 Windows 主機(jī)，我隨便用 ZoomEye 或 Shodan 搜索一下就可以發(fā)現(xiàn)，全球范圍內(nèi)依舊還有大量暴露在互聯(lián)網(wǎng)上的3389端口：

本文將剖析勒索病毒攻擊的生命周期，從3389端口的脆弱性入手，探討攻擊者如何利用RDP入侵、駐留、泄露數(shù)據(jù)，最終部署勒索病毒。

3389 的脆弱性

3389端口，是微軟遠(yuǎn)程桌面協(xié)議（RDP）的默認(rèn)端口，遠(yuǎn)程桌面大家都知道，類似常用的向日葵、ToDesk 和 TeamViewer，可以很方便的遠(yuǎn)控我們的主機(jī)，然而，這種遠(yuǎn)控也會伴生相當(dāng)多的安全風(fēng)險(xiǎn)，攻擊者可以利用暴露在互聯(lián)網(wǎng)上的 3389 端口，入侵未受保護(hù)的系統(tǒng)。

為什么大家都認(rèn)為把 3389 暴露出去是很危險(xiǎn)的事呢？

首先，RDP 本身存在一些不安全特性，例如：

• 弱口令導(dǎo)致暴力破解：許多用戶未能設(shè)置強(qiáng)密碼或更改默認(rèn)憑據(jù)，使得攻擊者可以用大字典暴力破解。
• 未打補(bǔ)丁的漏洞：老版本的 RDP 可能存在已知的漏洞，常見的例如 CVE-2019-0708、CVE-2019-1181/CVE-2019-1182 等。
• 3389 端口暴露在互聯(lián)網(wǎng)上：就像前面我們用 ZoomEye 或 Shodan 搜到的機(jī)器，這類機(jī)器可以說是肉雞最佳選擇之一吧。
• DDoS：這也是蠻常見的問題，即使攻擊者無法通過暴力破解入侵系統(tǒng)，他們還可以通過UDP反射等方式發(fā)動DDoS攻擊，使目標(biāo)機(jī)器癱瘓，無法正常提供服務(wù)。

為了降低風(fēng)險(xiǎn)，我們可以采取以下安全措施：

• 更改默認(rèn)端口： 將 RDP 端口更改為非默認(rèn)端口，可以增加攻擊者發(fā)現(xiàn)的難度（幾乎沒用）；
• 強(qiáng)密碼： 設(shè)置強(qiáng)密碼，長度足夠且最好是隨機(jī)密碼，讓暴力破解變難就行；定期更改密碼也是個(gè)辦法；
• 白名單： 允許特定 IP 地址或用戶通過 RDP 連接，可以使用防火墻或 VPN 等技術(shù)進(jìn)行限制；
• 啟用網(wǎng)絡(luò)級身份驗(yàn)證 (NLA)： NLA 可以增加一層安全保護(hù)，要求用戶在建立 RDP 連接之前進(jìn)行身份驗(yàn)證；
• 更新： 有更新及時(shí)安上，盡快修復(fù)已知漏洞；
• 審計(jì)： 定期看 RDP 的連接日志，早發(fā)現(xiàn)早治療；

雖說上面這些措施可以降低3389端口的風(fēng)險(xiǎn)，不過最好的辦法還是直接關(guān)閉3389端口，或者采用更安全的替代方案。例如，Cloudflare的零信任訪問方案（Cloudflare Access）可以有效防止未經(jīng)授權(quán)的遠(yuǎn)程桌面連接，從而最大程度地保護(hù)我們的機(jī)器。

https://blog.cloudflare.com/cloudflare-access-now-supports-rdp/

勒索病毒的生命周期

勒索病毒的生命周期（Life-Cycle）是指勒索病毒從入侵到完成攻擊的整個(gè)過程，其生命周期可以分為以下幾個(gè)關(guān)鍵階段：

Step 1：初始入侵（Initial Intrusion）

釣魚（Phishing）：攻擊者通過發(fā)送惡意附件或鏈接，誘使我們點(diǎn)擊并感染惡意軟件。

漏洞利用（Exploiting Vulnerabilities）：利用軟件或系統(tǒng)漏洞直接進(jìn)入目標(biāo)系統(tǒng)，前面說的利用 RDP 3389 端口就是這類方式。

惡意廣告（Malvertising）：通過在線廣告將惡意代碼傳播到目標(biāo)系統(tǒng)。

水坑 (Watering Hole Attack): 攻擊者入侵受害者常訪問的網(wǎng)站，植入惡意代碼。

社工 (Social Engineering): 攻擊者通過欺騙或操縱受害者，誘使其執(zhí)行惡意操作，其實(shí)釣魚也算社工的一種吧。

Step 2：安裝和持久化（Installation and Persistence）

惡意軟件下載（Malware Download）：一旦進(jìn)入系統(tǒng)，勒索病毒會下載自身或其他惡意組件。

持久化機(jī)制（Persistence Mechanisms）：使用后門、注冊表修改、啟動項(xiàng)、計(jì)劃任務(wù)、創(chuàng)建服務(wù)等方法確保在系統(tǒng)重啟后仍能生存。

Step 3：橫移（Lateral Movement）

網(wǎng)絡(luò)掃描（Network Scanning）：掃描網(wǎng)絡(luò)以發(fā)現(xiàn)其他可攻擊的設(shè)備和系統(tǒng)。

憑據(jù)竊取（Credential Stealing）：通過鍵盤記錄、釣魚、哈希傳遞、Golden Ticket（偽造 Kerberos 票據(jù)，獲得域管理員權(quán)限）或其他手段獲取有效的用戶憑據(jù)。

遠(yuǎn)程訪問工具（Remote Access Tools）：使用合法或非法的遠(yuǎn)程訪問工具在網(wǎng)絡(luò)中橫向移動，從一個(gè)設(shè)備轉(zhuǎn)移到另一個(gè)設(shè)備，擴(kuò)大感染范圍。

Step 4：加密和勒索（Encryption and Ransom Demands）

文件加密（File Encryption）：加密目標(biāo)系統(tǒng)中的文件，使其無法訪問。

顯示勒索信息（Ransom Note Display）：向受害者顯示贖金要求和支付指示的消息，通常通過加密貨幣支

Step 5：支付和解密（Payment and Decryption）

贖金支付（Ransom Payment）：受害者支付贖金后，攻擊者可能提供解密密鑰（但不保證，畢竟你屬于在和 criminal 做交易）。

解密文件（File Decryption）：使用提供的解密密鑰恢復(fù)文件訪問（假設(shè) criminal 守承諾）。

Step 6：數(shù)據(jù)泄露和進(jìn)一步勒索（Data Exfiltration and Further Extortion）：

數(shù)據(jù)泄露（Data Exfiltration）：有些變態(tài)的勒索病毒還會在加密之前竊取敏感數(shù)據(jù)。

雙重勒索（Further Extortion）：攻擊者可能威脅要公開或出售竊取的數(shù)據(jù)，以逼迫受害者支付更多贖金。

以上只是一個(gè)大概，實(shí)際上勒索病毒的生命周期并不是一成不變的，不同的勒索病毒家族可能有不同的行為模式，而且入侵者可能會在各個(gè)階段采取不同的策略和技術(shù)，以提高攻擊的成功率和隱蔽性。

了解勒索病毒的生命周期，有助于我們更好地理解其攻擊方式和特點(diǎn)，從而采取更有針對性的防范措施。

如何應(yīng)對勒索病毒？

先說最壞情況，假設(shè)你的機(jī)器全被勒索病毒加密了，可以說除了交錢你沒有任何辦法能解密文件...就算你找安全廠商，可能某些非常古老的勒索病毒（TeslaCrypt、Petya、CryptoLocker 之類）他們有辦法處理，新勒索病毒用的強(qiáng)加密他們也搞不定。

那有一些企業(yè)不方便交錢給勒索者，這些企業(yè)就會招標(biāo)找一家安全廠商，廠商也很有默契的報(bào)一個(gè)略高于贖金的價(jià)格，交錢解密...這也算是行業(yè)內(nèi)公開的秘密吧^o^

也給大伙提個(gè)醒：

大多數(shù)勒索病毒無法破解，即使可以破解，也需要很多時(shí)間和費(fèi)用，最好的防御措施是預(yù)防，通過定期備份數(shù)據(jù)、更新軟件、加強(qiáng)安全意識等措施來降低感染勒索病毒的風(fēng)險(xiǎn)。

所以早發(fā)現(xiàn)早治療，提前做好防御，把勒索病毒擋在外圈即可，說說我的想法吧：

1. 定期備份：最重要的防御方式，沒有之一；備份數(shù)據(jù)做好隔離，別讓勒索病毒把備份也加密了就行；按照你司給出的 SLA 保障 RPO 和 RTO 即可。
2. 敏感數(shù)據(jù)：文件服務(wù)、數(shù)據(jù)庫列加密、磁盤加密、應(yīng)用層加密等全搞上，密鑰用 KMS 管好，將損失降到最低，即使被勒索，保證敏感數(shù)據(jù)不泄露是底線。
3. 網(wǎng)絡(luò)分段：做的越細(xì)越好，最細(xì)致的叫微隔離，我很反感安全行業(yè)創(chuàng)造新詞的能力，whatever 各位看官理解即可。
4. 訪問控制：最小權(quán)限（有難度）、強(qiáng)密碼策略、MFA等
5. EDR、XDR、IPS、IPS 等等，從終端到網(wǎng)絡(luò)構(gòu)建好縱深，有更新有補(bǔ)丁盡快全量推送。

通過以上防御措施，可以大大降低勒索病毒攻擊的風(fēng)險(xiǎn)，但是沒有人敢保證萬無一失，做好備份是第一步也是最重要的，其他步驟可以隨著安全基建慢慢做。

總結(jié)

勒索病毒有點(diǎn)像 DDoS，沒有什么特別有效的防御手段，只能預(yù)先準(zhǔn)備好恢復(fù)和盡量降低我們的損失，特別是定期備份數(shù)據(jù)，設(shè)置敏感數(shù)據(jù)加密，實(shí)施網(wǎng)絡(luò)分段和訪問控制等是比較有效的方式。盡管沒有絕對的安全保障，但通過這些措施可以大大降低被勒索病毒攻擊的風(fēng)險(xiǎn)，確保企業(yè)和個(gè)人的數(shù)據(jù)安全。

總之做好備份是防御勒索病毒的第一步，也是最重要的一步，其它安全措施可以隨著你做安全基建的同時(shí)逐步完善。希望本文的內(nèi)容能幫助大家更好地應(yīng)對和防范勒索病毒攻擊。