【案例分享】深信服EDR防御勒索病毒成功案例
  

SANGFOR_智安全 60378

{{ttag.title}}


【案例分享】某公司EDR防御勒索病毒成功案例

     某公司EDR作为业界领先的终端安全防护产品,已经帮助众多客户成功抵御勒索病毒攻击,成为终端安全的坚实防护屏障。现在我们通过几个典型案例来了解某公司EDR在勒索病毒防护方面的卓越能力。

案例一:广州某科技股份公司
【项目背景】
     客户旗下拥有多家业务子公司,在国内和海外均设有技术服务中心。内部有几百台的服务器需要保护,版本为Windows2016和CentOS 7.x。由于近期有不少企业爆发勒索病毒事件,客户因为网络安全建设的需求,有计划采购终端安全的产品。客户想保护核心的服务器和部分终端,主要防御从工厂攻击到服务器的SMB暴破和勒索病毒。

【某公司EDR勒索防御表现】
1.成功处置GandCrab5.2勒索病毒:客户监控到内网有大量445非法连接,根据端口找到占用445的程序为mssecsvc.exe,然后直接通过EDR下发扫描出GandCrab 5.2勒索病毒,成功处置清理了勒索病毒,及时防止勒索病毒的扩散和加密,避免了重要业务的停工。
2.客户高度认可:客户在同时测试某公司EDR产品与友商产品时,友商的产品没有SMB暴力破解检测功能,出现过防护失败的情况,而某公司EDR具有更强的勒索病毒识别检测能力,勒索防护能力得到实战验证,客户更加认可某公司EDR的能力。


案例二:某国际知名家庭用品公司
【项目背景】
客户是大型家庭用品公司,其业务遍布全国,员工规模数千人。
2019年6月份,客户内部服务器出现服务器不能访问现象,登陆服务器查看,服务器被加密,勒索病毒种类为Crysis勒索病毒家族,众多生产服务器受影响,产线停产。

【某公司EDR勒索防御表现】
1.成功处置Crysis勒索病毒:安装两家友商产品的终端均有被加密,对生产造成严重影响。某公司EDR技术团队在确认内网主机加密现象后,给客户部署了某公司EDR,成功防御了勒索病毒,并成功清除母体文件。
2.客户高度认可:国内某友商的产品虽然在部分终端有弹出拦截窗口,但文件等已被加密,卡住不动无法执行,此外只安装友商产品的所有终端均被勒索加密!而安装了EDR的主机和服务器均未感染勒索病毒,对勒索病毒进程phexec2.exe进行自动查杀,通过某公司EDR的勒索诱捕功能成功防御勒索并病毒,使客户的PC不受影响,获得客户高度认可。

案例三:大连某集团公司
【项目背景】
客户是大型国有控股公司,在8月份这段时间发现病毒泛滥,经排查,发现有内部文件中了勒索病毒。
【某公司EDR勒索防御表现】
通过某公司EDR查看病毒事件相关详情,定位和获取感染文件信息;
通过感染文件分析,成功追溯到病毒文件;
对病毒文件样本进行分析,确认是勒索病毒,使用EDR进行全网隔离处置,成功帮助客户解决问题。

案例四:某知名在线游戏公司
【项目背景】
客户是知名的在线游戏开发和运营商, 8月份,客户发现大量服务器和PC被Sodinokibi勒索病毒加密,且在同一vlan下,根据实际情况得知,该 vlan为一个分支。
【某公司EDR勒索防御表现】
某公司EDR团队确认这是一次勒索病毒事件,对受感染服务器以及主机已经断网处理,发现主机存在暴力破解的痕迹, 结合该勒索病毒家族为 Sodinokibi家族,初步判断为RDP暴力破解,EDR安全团队快速响应,使用EDR成功帮客户清理勒索病毒,防止被再次感染。
以下是具体的勒索病毒处置过程:
Step 1,对所有被感染服务器进行断网处理,并在整个内网使用EDR的微隔离开启了封堵3389和445的策略,针对PC端用户第一时间断开网络,及时遏制风险扩散。
Step 2,与客户同步感染情况,当时暂时未发现其余服务器或PC受到勒索病毒影响。
Step 3,客户针对被感染服务器与主机重装系统,某公司EDR团队配合客户对重装的纯净主机及未感染的主机安装EDR终端检测响应产品,有效的防止再次被黑客攻破。
截止至今,使用某公司EDR防护的终端未发现二次感染的情况,并且开启了webshell、暴力破解、微隔离、勒索诱捕功能对勒索病毒进攻的整个路径进行层层阻断,有效遏制病毒扩散和二次感染。

【小结】
某公司EDR在防御勒索病毒方面的表现受到越来越多用户的认可,在当前未知病毒不断演化、高级威胁持续产生的大环境下,某公司EDR将不断聚焦最前沿的探索,给客户的终端安全保驾护航。

小伙伴们,你们是否使用了EDR,有哪些成功防护的经历,欢迎来分享!

打赏鼓励作者,期待更多好文!

打赏
13人已打赏

国服第一安琪拉 发表于 2019-10-14 14:41
  
首先,你这案例,至少有个截图啥的,才有可信度,这啥都没有 谁信呀
jan 发表于 2019-10-16 14:09
  
呵呵,支持有图有真相!!
清风慕竹 发表于 2019-10-17 08:27
  
我怎么感觉大连这个集团公司是我去部署EDR排查的啊
新手208554 发表于 2019-10-23 18:42
  
是啊,有图有真相                  
懵懵懂懂 发表于 2020-3-17 08:21
  

感谢分享
新手770264 发表于 2020-3-17 10:22
  
感谢楼主分享 借来参考下
懵懵懂懂 发表于 2020-3-21 09:17
  
感谢分享!
小尛 发表于 2020-4-14 11:01
  
感谢分享
暖暖的毛毛 发表于 2020-4-24 09:54
  

感谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

217
288
151

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人