背景
最近,加利福尼亚大学遭受了勒索软件攻击,导致了隐私数据大规模泄露。该大学在周三的一份声明中警告了其学生和教职员工,勒索软件团伙可能已经窃取并发布了他们的个人数据以及全国数百所其他学校、政府机构和公司的个人数据。声明还说,一个或多个黑客还一直在发送大量恐吓电子邮件,威胁如不缴纳赎金就要发布数据。据悉,这些数据泄漏于12月和1月之间,黑客利用了已有20年历史的Accellion文件传输服务中的漏洞。
各种网络攻击事件均指向了网络安全检测防护建设的重要性。
而就在近日,国内某大学在与聚铭网络达成全面合作的情况下,借助聚铭网络流量智能分析审计系统,及时挖掘出现网环境中存在的安全隐患,定位处理了失陷主机,最终有效规避了安全事件的爆发,切实保障了内网环境安全稳定。
问题定位
该校作为一所综合大学,下设众多专业院系,幅员广,师生人数庞大。学校网络承载着师生在校期间的所有工作和学习任务,同时也包含着师生的各类信息,相关数据和内外访问流量十分庞大。学校业务的复杂性导致其信息化产品多元化且具有异构特征,硬件设施和软件产品基本是多品牌、多型号和不同架构组成,这本就给安全防护带来很大的不确定性。
起初,对于学校部分主机在浏览网页时出现运行缓慢、出错情况,学校工作人员以为只是正常的网络问题,但在后期发现系统还会出现崩溃的情况,严重影响了日常办公。
在部署运行聚铭网络流量智能分析审计系统监测网络安全情况时,系统首页便发现学校存在可疑流量。经过系统的搜集分析后,发现学校有主机感染了Ramnit木马。并且,该木马会有规律性的每隔十分钟就产生一次外部链接,直接登录美国地址。
通过全面的检测分析后,最终定位到学校至少已有5台主机感染了Ramnit木马,其中一主机为服务器设备,并追踪到感染路径为C:\ProgramFiles\Microsoft\DesktopLayer.exe。
隐患处理
在清楚主机设备具体问题隐患后,学校网络安全管理人员立即对失陷主机进行了查杀处理,并经过再一次检测,以确保安全隐患已经消除。
Ramnit是一种蠕虫病毒,其拥有多种传播方式,不仅可以通过网页进行传播,还可以通过感染计算机内可执行文件进行传播。该病毒在2010年第一次被安全研究者发现,从网络威胁监控中可以看出目前仍然有大量的主机感染该病毒,所以Ramnit依然是网络空间世界的重大威胁之一。
Ramnit病毒可以:
监控网络访问活动等,可能导致网上银行交易等信息的泄露或盗取;
扫描和浏览服务器中的文件系统,获取敏感的文件信息;
通过控制某台计算机可以作为攻击者的跳板对整个内部网络造成危害。
因此,如若没有及时发现并处理Ramnit木马,这将会对学校产生不可估量的损失。
本次安全隐患的发现处理也给该大学敲响了警钟,在后期的网络安全防护中,学校会更加注意日常的网络安全防护,并善用聚铭网络流量智能分析审计系统,确保学校网络环境安全健康。
来源:freebuf.com 2021-04-12 15:49:54 by: 南京聚铭网络
请登录后发表评论
注册