×

一次云端排查让勒索病毒当众“伏法” | 反勒索病毒暗战第一期
  

Sangfor_闪电回_朱丽 139725人觉得有帮助

{{ttag.title}}
提到勒索病毒,总能和巨额赎金、信息泄露等等重大安全隐患事件联系起来。比如近期发生的勒索攻击致美国半个能源系统停摆的事情。
但不是所有的勒索病毒都能成功入侵。最近,某公司终端安全团队就发现了这样一起“勒索未遂”的故事——勒索病毒在用户开启 RDP 服务时入侵,利用暴力破解手段试图入侵破坏企业数据,被某公司 EDR 安全团队发现及时排查清除。那么,该勒索病毒的具体入侵路径究竟是怎样的呢?我们一起来看下。

反勒索病毒入侵全纪录
  • 发现威胁


首先,代入一下场景。某天,某公司终端安全专家君哥正在通过某公司 EDR 云端查杀数据分析监控着世界各地的病毒去向。突然,某公司终端安全专家发现用户的客户端收到了一条告警提醒,仔细一看事情不妙,马上开始排查。按照规矩,某公司终端安全专家立刻用云端日志展开了远程“调查”,通过安全云脑威胁情报获取到对应的样本文件,安全专家在本地进行了行为分析,证实确实为勒索病毒,该勒索病毒分别名为 Makop、Milleni500。


不过,大家也不必担心,这个过程不会涉及任何敏感信息。

云端数据只上传病毒查杀日志,包括设备 ID、查杀时间、病毒文件哈希、查杀路径,但不会上传用户文件,未告警的正常文件也不会上传任何信息,不会造成敏感信息泄露。附勒索病毒详细信息:

1、Makop 勒索病毒的勒索信息如下:

Milleni500 勒索病毒的勒索信息如下:


于是,安全专家联系到对应的用户对 EDR 管理平台和告警终端进行详细排查。

  • 如何入侵

那么,这个病毒究竟是如何入侵的?我们一步步往下看。首先,通过对 EDR 管理平台检测日志的分析,发现产生告警的来源于一台监控服务器,该服务器对外网开启了 RDP 服务。其中,静态文件检测进行了告警,并对勒索病毒文件进行了自动处置:
紧接着,某公司终端安全专家对该勒索病毒进行了更深层次的溯源发现,该用户终端一直在遭受持续的暴力破解攻击。根据 EDR 日志告警的勒索病毒上传目录,与该勒索病毒一同检出的还有大量黑客工具:包括 NS(用于内网扫描)、everything(正常的文件搜索工具,没有实际威胁)、ClearLock(一款锁屏软件)、bat 脚本(用于删除备份卷影)。


但通过 everything 排查主机上的EXE文件,未发现其他可疑情况,排查 asp、aspx、jsp、php 等后缀的文件,未发现异常。此外,由于服务器系统日志保留时间较短,无法查到入侵时间点的日志信息,且排查未发现 WebShell 和明显入侵途径,入侵方式暂不明确,因此无法溯源到最初的入侵 IP。不过,好在该用户开启了 EDR 文件实时监控、勒索病毒防护实时监控以及自动处置策略,成功拦截了本次事件中上传的勒索病毒,避免了一次“惨剧”发生。

某公司终端安全团队来给您提个醒
虽然这一次该用户“逃过一劫”,但对付勒索病毒除了依靠某公司 EDR 实时监测外,更需要平时的自我防护,才能让勒索病毒无可乘之机。因此,针对该用户的具体情况,某公司终端安全团队也给出了一套行之有效的建议:
  • 建议关闭 RDP 服务不要对外网直接映射 RDP 服务,如有业务需要,建议使用 EDR 的微隔离对于威胁端口进从策略访问控制并封堵或者使用 VPN;
  • 使用 EDR 的基线检查功能,查找系统中存在的弱密码,并及时通知相关责任人进行修改;
  • 服务器密码使用复杂密码且不要与其他主机密码重复、不要与外部账号密码重复,防止泄露;并使用 KeePass 等密码管理器对相关密码进行加密存储,避免使用本地明文文本的方式进行存储;
  • 系统相关用户杜绝使用弱口令同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强运维人员安全意识,禁止密码重用的情况出现,并定期对密码进行更改;
  • 已开启 EDR 的 RDP 暴力破解并自动封堵功能,当出现暴力破解事件时,及时检查密码强度,并通知相关终端的责任人及时修改相关密码;
  • 建议开启 EDR 的 RDP 二次登录验证功能
  • 使用 EDR 进行全网的漏洞扫描发现并及时修补高危漏洞,及时打上补丁;
  • 定期进行全盘扫描建议安排安全人员定期进行日志分析,提前规避高危风险点。也可以联系安服团队进行公司网络安全的全面检查。


如果您也遇到过类似的问题,不妨扫描下方二维码免费试用某公司 EDR 体验下,有问题找某公司 EDR 就对了。

作为下一代终端安全产品,某公司 EDR 致力于为企业级用户提供「轻量易用,实时保护,东西向可视可控」的终端安全防护能力。目前某公司 EDR 已经广泛应用在政府、金融、教育、医疗、企业等诸多行业,部署端点超过 1200W+,全面保障政企事业单位的终端安全。

暗夜星空 发表于 2021-5-17 10:17
  
坚持每日学习打卡
残花在何处 发表于 2021-5-17 10:21
  
打卡第一期,期待后续
ychunk 发表于 2021-5-17 10:50
  
学习了,勒索病毒还是很多客户关心的问题
澄澄澄 发表于 2021-5-17 16:49
  
君哥牛批牛批牛批牛批牛批牛批
新手513833 发表于 2021-5-18 08:49
  
谢谢分享,有助于工作!
新手513833 发表于 2021-5-18 08:53
  
谢谢分享,有助于工作!
新手513833 发表于 2021-5-18 08:55
  
谢谢分享,有助于工作!
新手513833 发表于 2021-5-18 08:56
  
谢谢分享,有助于工作!
新手513833 发表于 2021-5-18 08:58
  
谢谢分享,有助于工作!
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人