下午四点刚做完一个VPN的测试项目,销售给我打来电话,他的一个客户中了勒索病毒,向我们寻求帮助。 我回某公司,带上防火墙,赶往现场。 环境: 客户属于制造业,网络规模不大,一百人以下的二层外网环境,只有一台ERP服务器,服务器端口映射到外网,供分支人员访问。ERP服务器是新迁移过来的不到一个月。自带备份功能(悲剧的是,备份方式是从一个分区备份到另一个分区),备份数据也被加密了。 到达现场后ERP厂商已经全盘格式化服务器,数据恢复到8月5日(客户手动备份到移动硬盘的日期)。意味着客户丢失了半个月的数据,恢复好后,厂商没敢插网线。 经过客户的描述:加密后文件的后缀名大多是ACL0、ACL02、ACL03等等,初步怀疑是Globelmposter病毒,Globelmposter勒索软件主要通过RDP爆力破解的方式进行传播。 防护方案: AF放在ERP服务器前面,怀疑内网电脑可能存在横向攻击。ERP服务器上部署edr单机版杀毒软件。 应用控制策略:ERP到非信任区——全放开,非信任区到ERP---全禁止,然后再做一条:非信任区到ERP,用到端口的放通(这条放在最上面)。 安全策略: IPS配置 web应用防护 僵尸网络 内容安全 我带的AF是测试设备,所有模块全有授权。 新建【安全防护策略】-新增业务防护策略,将上面创建的四个策略引用,动作全部拒绝。 设备上线,先保证规则库更新到最新。 ERP服务器安装杀毒软件,实时监控开启。 将ERP配上IP地址,接入网络,AF放在ERP前。 客户测试业务,全部正常,其它无关端口无法访问。 防火墙上暂时没有攻击日志,晚上九点回家!
第二天客户用微信给我发来照片: 服务器安然无恙,勒索病毒暴力破解攻击被扼杀在网络层。 | 
发表于 2019-9-4 09:42
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员2级 
