|
一、事前加固: 1, 提供免费的勒索风险排查服务 深信服提供免费的勒索风险排查,可联系深信服安服人员,针对勒索病毒对全网安全风险排查(包含漏洞、暴露面、端口、病毒威胁等排查),加固全网安全等级。 2, 免费EDR试用服务 针对缺乏端点防护的客户,深信服免费提供SaaS-aES快速体验,无需准备服务器部署安装、快速部署客户端,对全网端点扫描加固,制止威胁于萌芽状态。 3, 安全产品加固 1)及时更新安全产品的防护规则库,深信服安全产品(SIP/AF客户,尽快检查自身安全产品规则库,将其升级到最新版本 2)EDR升级到3.7.12及以上版本,含有国内独家勒索白利用防护能力,进一步加强勒索入侵专项防护。并更新病毒库与规则库至最新,进行全网扫描查杀,加固端点安全。
二、 应急响应建议: 一旦发生勒索攻击事件,可联系深信服安服人员,应急响应处置,协助客户快速溯源举证、根除勒索病毒。
HK平台勒索专项防护: 近期,深信服安全蓝军团队监测到国内发生大规模勒索攻击事件(Tellyouthepath勒索家族),加密后缀为locked1。属于Tellyouthepass家族的自动化攻击,一轮攻击大致持续3-5天左右(隔一段时间就会来一波),攻击手法基本上是利用HK平台、用友、致远等1day及nday漏洞,然后把恶意载荷注入到系统白进程,绕过杀毒软件防护,最后执行勒索加密操作。深信服从2022年4月持续跟踪该勒索家族,端点安全产品aES专门推出勒索行为AI引擎,截止今年已成功检测到近百起Tellyouthepath勒索攻击事件,结合网络侧防护和云端7*24小时专家服务,提供全面的勒索防护方案。
针对使用HK平台的客户,深信服建议: 1,针对勒索攻击相关风险进行排查 1)深信服可免费提供勒索风险排查服务,可联系深信服安服人员,针对勒索病毒对全网安全风险排查(包含漏洞、暴露面、端口、病毒威胁等排查),加固全网安全等级 2)针对缺乏端点安全防护的客户,深信服免费可提供SaaS-aES试用服务,无需服务器部署安装、快速部署客户端,对全网端点扫描加固,制止威胁于萌芽状态。 2, 升级深信服现有安全产品进行防护加固
三、 安全产品升级防护规则库: 升级深信服防火墙AF、态势感知SIP、物联网安全SIG的规则库至最新版本。截止目前收集到常用攻击漏洞信息如下(持续更新中),AF、SIP、SIG最新规则库版本已支持防护这些漏洞。 HK iVMS综合安防系统任意文件上传
HK综合安防管理平台文件上传漏洞
HK综合安防管理平台files;.js任意文件上传漏洞
HK综合安防管理平台文件上传漏洞 注意事项:如果平台为https访问,需要导入证书,联系深信服服务工程师评估性能后,开启配置HTTPS解密。
四、 深信服EDR加固建议: 1、EDR升级到3.7.12及以上版本,支持国内独家勒索白利用防护能力,专项防护Tellyouthepass等白利用的勒索攻击,加强勒索入侵防护效果。并更新EDR病毒库与规则库至最新。 3, 做好访问控制和重要数据备份。针对HK平台做好访问控制,断开互联网连接,并做好异机备份。 4, 建议针对业务系统进行安全加固。可采用深信服勒索防御方案,防护效果敢承诺,还有保险理赔兜底,最低理赔额度20w起。 经HK初步评估,此次事件受影响的版本为:iVMS-8700的V2.0.0-V2.9.2版本、iSecure Center的V1.0.0-V1.7.0版本。HK已提供官方修复方案,同时请加强安全监测防护。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-11-17 14:32
技术研究员2级 
