欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

您當(dāng)前的位置是:  首頁(yè) > 資訊 > 文章精選 >
 首頁(yè) > 資訊 > 文章精選 >

曾造成多家醫(yī)療機(jī)構(gòu)癱瘓的病毒,這次勒索了你的生活用水!

--反勒索病毒暗戰(zhàn)第二期

2021-08-20 09:49:43   作者:   來(lái)源:CTI論壇   評(píng)論:0  點(diǎn)擊:


  嘿朋友,你是不是正邊喝水邊打開文章?你試想過(guò)沒(méi)有水的生活嗎?
  曾在2020年造成國(guó)內(nèi)多家醫(yī)療機(jī)構(gòu)業(yè)務(wù)癱瘓,Makop勒索病毒這次將“魔爪”伸向了自來(lái)水公司。一旦病毒層層入侵企業(yè)內(nèi)網(wǎng),導(dǎo)致大規(guī)模停水,不止自來(lái)水公司,更包括每一個(gè)人,都攤上大事了!
  前段時(shí)間,深信服終端安全團(tuán)隊(duì)敏銳地發(fā)現(xiàn)了這起勒索未遂的攻擊事件,上一起勒索未遂事件點(diǎn)擊藍(lán)字了解:《一次云端排查讓勒索病毒當(dāng)眾“伏法” | 反勒索病毒暗戰(zhàn)第一期》,在本次勒索事件中,攻擊者試圖通過(guò)RDP暴力破解入侵某自來(lái)水企業(yè)內(nèi)網(wǎng)投放勒索病毒。但在深信服勒索病毒防護(hù)方案組成的銅墻鐵壁面前,勒索攻擊被迅速扼殺在“搖籃”中。
  看到這里,你一定很好奇:深信服勒索病毒防護(hù)方案是如何用“火眼金睛”揪出病毒的?Makop勒索病毒到底有多“不講武德”?莫慌,容信服君一一道來(lái)……
  1、日常排查,顯露“端倪”
  前些日子,深信服終端安全專家君哥在全網(wǎng)進(jìn)行日常排查時(shí),用戶一臺(tái)終端檢測(cè)與響應(yīng)平臺(tái)EDR的掃描日志引起了她的注意。
  仔細(xì)檢查之后,果然有“貓膩”。檢出的威脅詳情如下:
  為了進(jìn)一步確認(rèn)該威脅文件是否為真正的勒索病毒,深信服安全專家又作了進(jìn)一步的驗(yàn)證。
  利用哈希值從外部威脅情報(bào)獲取到病毒樣本進(jìn)行本地驗(yàn)證,確認(rèn)為真實(shí)的勒索病毒檢出。
  但需要注意的是,云端數(shù)據(jù)只上傳病毒查殺日志,包括設(shè)備ID、查殺時(shí)間、病毒文件哈希、查殺路徑,不會(huì)上傳客戶文件,未告警的正常文件也不會(huì)上傳任何信息,不會(huì)造成敏感信息泄露。
  經(jīng)確認(rèn),該勒索病毒家族為Makop,加密后釋放的勒索信息如下:
  2、發(fā)現(xiàn)威脅,立即阻斷
  深信服安全專家排查了對(duì)應(yīng)的 EDR 管理平臺(tái)日志,發(fā)現(xiàn)該查殺記錄來(lái)源于一臺(tái)數(shù)據(jù)傳輸服務(wù)器,經(jīng)確認(rèn)該服務(wù)器對(duì)外網(wǎng)映射了 RDP 服務(wù)。
  其中,靜態(tài)文件檢測(cè)和勒索行為檢測(cè)均進(jìn)行了告警,并對(duì)勒索病毒文件進(jìn)行了自動(dòng)處置:
 
  緊接著,深信服安全專家又繼續(xù)查看了暴力破解日志,發(fā)現(xiàn)該終端一直在遭受持續(xù)的暴力破解攻擊,日志中可明顯的判斷出利用了暴力破解字典在進(jìn)行爆破:
  
  查看深信服下一代防火墻AF日志,同樣發(fā)現(xiàn)了大量的持續(xù)暴力破解日志:
  
  此時(shí),幾乎可以判定是有攻擊者利用RDP暴力破解的方式,意圖人工投放勒索病毒對(duì)該數(shù)據(jù)傳輸服務(wù)器進(jìn)行加密。
  通過(guò)檢查用戶EDR管理平臺(tái)策略發(fā)現(xiàn),該用戶已開啟文件實(shí)時(shí)監(jiān)控、開啟勒索防護(hù)自動(dòng)處置、開啟暴力破解自動(dòng)封堵、開啟RDP登錄保護(hù)功能,但該功能只覆蓋了周一至周五,而勒索病毒檢測(cè)日志在周六,才讓勒索病毒有了可乘之機(jī)。
  此外,根據(jù)EDR日志告警的勒索病毒上傳目錄,查看到該目錄下還遺留有攻擊者上次的工具痕跡,其中DefenderControl是用于關(guān)閉Windows安全策略,也是勒索病毒攻擊中常用的工具,everything則是一款正常的文件搜索工具,沒(méi)有實(shí)際威脅,而ClearLock則是一款鎖屏軟件:
  
  通過(guò)everything排查主機(jī)上的EXE文件,未發(fā)現(xiàn)其他可疑文件:
 
  但由于服務(wù)器系統(tǒng)安全日志都被覆蓋,無(wú)法溯源到最初的入侵IP。
  所幸,由于用戶開啟了EDR管理平臺(tái)策略,并且深信服EDR也在發(fā)現(xiàn)威脅時(shí)第一時(shí)間進(jìn)行了阻斷和告警,聯(lián)動(dòng)響應(yīng)AF等其他安全產(chǎn)品,對(duì)整體終端安全防護(hù)進(jìn)行了升級(jí)和加固,用戶數(shù)據(jù)毫發(fā)未損。
  • 敲黑板!Makop勒索病毒到底有多強(qiáng)?
  深信服安全專家通過(guò)分析勒索病毒樣本信息和代碼結(jié)構(gòu),確認(rèn)此次攻擊病毒為Makop勒索。就在2020年,國(guó)內(nèi)已有多家醫(yī)療機(jī)構(gòu)感染Makop勒索病毒,遭受服務(wù)器加密,造成業(yè)務(wù)癱瘓,影響巨大。
  Makop勒索是一款具有交互功能的勒索病毒,與常見(jiàn)勒索病毒不同的是,它可以通過(guò)界面進(jìn)行交互,攻擊者在使用時(shí)可以自主對(duì)加密的方式進(jìn)行選擇,堪稱勒索病毒發(fā)展史上的一次“進(jìn)化”。
  Makop勒索把需要用到的關(guān)鍵資源都進(jìn)行了加密,在需要使用時(shí)再逐一使用Windows Crypt API進(jìn)行解密,如刪除磁盤卷影的CMD命令:
  vssadmin delete shadows /all /quiet.wbadmin delete catalog -quiet.wmic shadowcopy delete.exit
  解密需要結(jié)束的進(jìn)程列表,結(jié)束進(jìn)程,以解除占用,確保能夠順利地進(jìn)行數(shù)據(jù)加密:
  msftesql.exe;sqlagent.exe;sqlbrowser.exe;sqlservr.exe;sqlwriter.exe;oracle.exe;ocssd.exe;dbsnmp.exe;synctime.exe;agntsrvc.exe;mydesktopqos.exe;isqlplussvc.exe;xfssvccon.exe;mydesktopservice.exe;ocautoupds.exe;encsvc.exe;firefoxconfig.exe;tbirdconfig.exe;ocomm.exe;mysqld.exe;mysqld-nt.exe;mysqld-opt.exe;dbeng50.exe;sqbcoreservice.exe;excel.exe;infopath.exe;msaccess.exe;mspub.exe;onenote.exe;outlook.exe;powerpnt.exe;steam.exe;thebat.exe;thebat64.exe;thunderbird.exe;visio.exe;winword.exe;wordpad.exe
  Makop選擇加密的文件會(huì)跳過(guò)以下文件后綴或文件名,可以看出大部分是曾經(jīng)使用過(guò)的加密后綴,還有會(huì)跳過(guò)可執(zhí)行文件和釋放的勒索信息文件,以及部分系統(tǒng)配置文件:
  CARLOS、shootlock、shootlock2、1recoesufV8Sv6g、1recocr8M4YJskJ7、btc、KJHslgjkjdfg、origami、tomas、RAGA、zbw、fireee、XXX、element、HELP、zes、lockbit、captcha、gunga、fair、SOS、Boss、moloch、BKGHJ、WKSGJ、termit、BBC、dark、id2020、arch、Raf、ryan、zxz、exe、dll、makop
  boot.ini、bootfont.ini、ntldr、ntdetect.com、io.sys、readme-warning.txt、desktop.ini
  同大部分的勒索病毒一樣,Makop采用的也是AES+RSA的方式進(jìn)行加密,即執(zhí)行時(shí)隨機(jī)生成AES密鑰對(duì)文件進(jìn)行加密,再使用RSA公鑰對(duì)AES密鑰進(jìn)行加密,只有拿到攻擊者的RSA私鑰,才能夠進(jìn)行解密。
  
  • 病毒來(lái)了不用慌,深信服給你支支招
  針對(duì)此次勒索病毒入侵事件,深信服提出了一些實(shí)用性的建議:
  1. 建議關(guān)閉RDP服務(wù),不要對(duì)外網(wǎng)直接映射3389等端口,如有業(yè)務(wù)需要,建議使用EDR的微隔離對(duì)于威脅端口從策略訪問(wèn)控制并封堵或者使用VPN;
  2. 使用EDR的基線檢查功能,查找系統(tǒng)中存在的弱密碼,并及時(shí)通知相關(guān)責(zé)任人進(jìn)行修改。服務(wù)器密碼使用復(fù)雜密碼,且不要與其他主機(jī)密碼重復(fù)、不要與外部賬號(hào)密碼重復(fù),防止泄露;并使用KeePass等密碼管理器對(duì)相關(guān)密碼進(jìn)行加密存儲(chǔ),避免使用本地明文文本的方式進(jìn)行存儲(chǔ);
  3. 系統(tǒng)相關(guān)用戶杜絕使用弱口令,同時(shí),應(yīng)該使用高復(fù)雜強(qiáng)度的密碼,盡量包含大小寫字母、數(shù)字、特殊符號(hào)等的混合密碼,加強(qiáng)運(yùn)維人員安全意識(shí),禁止密碼重用的情況出現(xiàn),并定期對(duì)密碼進(jìn)行更改;
  4. 開啟EDR的RDP暴力破解并自動(dòng)封堵功能,當(dāng)出現(xiàn)暴力破解事件時(shí),及時(shí)檢查密碼強(qiáng)度,并通知相關(guān)終端的責(zé)任人及時(shí)修改相關(guān)密碼;
  5. 開啟EDR的RDP二次登錄驗(yàn)證功能,配置復(fù)雜密碼,多重登錄保護(hù);
  6. 使用EDR進(jìn)行全網(wǎng)的漏洞掃描,發(fā)現(xiàn)并及時(shí)修補(bǔ)高危漏洞,及時(shí)打上補(bǔ);
  7. 升級(jí)AF至最新版本,提高入侵防護(hù)能力;
  8. 定期進(jìn)行全盤掃描,建議安排安全人員定期進(jìn)行日志分析,提前規(guī)避高危風(fēng)險(xiǎn)點(diǎn)。也可以聯(lián)系安服團(tuán)隊(duì)進(jìn)行公司網(wǎng)絡(luò)安全的全面檢查。
  • 科學(xué)『抗病毒』,日常預(yù)防是關(guān)鍵
  就目前而言,一旦被勒索病毒攻擊幾乎無(wú)方破解,關(guān)鍵在預(yù)防,同時(shí)企業(yè)也要意識(shí)到網(wǎng)絡(luò)安全建設(shè)在當(dāng)前的網(wǎng)絡(luò)攻防環(huán)境下的重要性。最后,深信服帶大家回顧下日常預(yù)防的8個(gè)『民間偏方』:
  • 企業(yè)需要警惕“早晚會(huì)出事”現(xiàn)象;
  • 企業(yè)需要警惕“節(jié)假日高峰”現(xiàn)象;
  • Windows服務(wù)器中勒索病毒遠(yuǎn)大于Linux服務(wù)器;
  • 定期冷備份或者異地備份,關(guān)鍵時(shí)刻能“救命”;
  • 大量證據(jù)表明,人是企業(yè)安全最薄弱環(huán)節(jié)(弱密碼、釣魚等),內(nèi)部安全意識(shí)提升非常重要(也可以考慮零信任方案);
  • 核心數(shù)據(jù)資產(chǎn)的訪問(wèn)控制需要重點(diǎn)加強(qiáng),有條件的建議前置堡壘機(jī)等方式進(jìn)行管控;
  • 企業(yè)內(nèi)部任何一個(gè)漏洞或者僵尸網(wǎng)絡(luò)主機(jī),都有可能成為入口點(diǎn),日常打補(bǔ)丁和殺毒是必不可少的;
  • 不要迷信專網(wǎng)安全性,各個(gè)分支加入專網(wǎng)建議用防火墻等邊界控制設(shè)備進(jìn)行隔離管控。
  作為國(guó)內(nèi)前沿的網(wǎng)絡(luò)安全廠商,深信服多年來(lái)持續(xù)投入勒索防護(hù)研究,內(nèi)容涵蓋黑產(chǎn)洞察、病毒研究、情報(bào)追蹤、投放分析,并沉淀出完整覆蓋突破邊界、病毒投放、加密勒索、橫向傳播等勒索攻擊鏈的系統(tǒng)性解決方案,目前已協(xié)助1000+各行業(yè)用戶有效構(gòu)建起了勒索病毒防護(hù)最佳實(shí)踐。
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無(wú)關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

專題

CTI論壇會(huì)員企業(yè)