自2018年8月21日起,多地发生GlobeImposter勒索病毒事件,攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。
病毒特征
文件后缀:
GOTHAM;*.YAYA;*.CHAK;*.GRANNY;*.SKUNK;*.TRUE;*.SEXY;*.MAKGR;*.BIG1;*.LIN;*.BIIT;*.reserve;*.BUNNY;*.FREEMAN;
勒索通知信息文件为:how_to_back_files.html
攻击方式
此病毒主要针对企业,通过RDP远程桌面爆破入侵施放病毒,病毒会加密本地磁盘与共享文件夹的所有文件, 并在内网对其他主机进行口令暴破,扩散病毒。
影响设备
1.存在弱口令且rdp服务暴露在外网上的设备;
2.内网设备使用相同或者少数几组口令;
3.设备未部署或未及时更新杀毒软件。
应急响应
1、断开网络,预防感染其它内网计算机文件;
2、结束病毒进程,安装杀毒软件,查杀病毒,预防二次中毒加。(查杀病毒不会损坏加密的文件);
3、备份加密数据。预防意外造成加密数据损坏无法解密;
4、排查服务器的局域网是否有共享文件夹文件被加密,进行备份。
预防措施
1. Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议),因此建议用户关闭相应的RDP(远程桌面协议);
2. 不要点击来源不明的邮件以及附件,可能包含密码抓取工具或其他木马病毒;
3. 更改默认administrator管理帐户,禁用GUEST来宾帐户;
4. 更改复杂密码,字母大小写,数字及符号组合的密码,不低于10位字符;
5. 设置帐户锁定策略,在输入5次密码错误后禁止登录;
6. 安装杀毒软件,设置退出或更改需要密码,防止进入关闭杀毒软件;
7. 定期的一个数据异地备份,如是云服务器,一定要做好快照;
8. 服务器尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139等;
9. 禁止系统自带远程协助服务,使用其它远程管理软件,例如:TeamViewer,并妥善保管好密码。
山石网科基于生命周期的高级威胁防御
山石网科作为中国网络安全行业的领军企业,积累了多年的威胁情报,针对日益严峻的网络威胁趋势,提出了基于生命周期的高级威胁防护方案,从多个维度出发,全面覆盖以勒索软件为首的高级威胁入侵和传播方式,为超过14000加客户提供高效、稳定的安防护。
勒索软件攻击准备阶段(攻击前)
漏洞利用——山石网科入侵防御系统是专用于网络入侵攻击检测和防御的安全服务,内嵌8000+攻击特征,拥有L2-L7全面的防御能力,具备专业的Web服务器防护能力,有效抵御WannaCry、SamSam等利用系统漏洞进行入侵的勒索软件,帮助用户快速定位内网问题。
垃圾邮件散播——山石网科邮件过滤服务专用于拦截垃圾邮件和钓鱼邮件。与云端情报库保持连接,实时获取全球范围内最新的垃圾邮件情报。从发件人、内容、URL、附件等多个维度进行分析,快速、高效的对垃圾邮件进行实时分类检测和防御,有效拦截Locky、GlobeImposter等利用钓鱼邮件进行传播的勒索软件。并且采用邮件哈希与云端情报库进行查询交互,无需上传邮件内容,并便捷、安全。
风险IP访问——山石网科IP信誉服务专用于过滤不同类型的风险IP流量。对于网络上散播垃圾邮件的服务器,僵尸肉鸡等风险来源,能起到从威胁源头进行过滤,防止恶意流量进入企业内网。
恶意站点浏览——山石网科病毒过滤服务能对恶意站点实施管控。内置恶意URL名单库,阻断企业用户无意间点击的恶意站点,防止受到BadRabbit等利用挂马网站进行传播的勒索软件。
勒索软件传播阶段(攻击中)
恶意威胁传播——山石网科病毒过滤服务专用于检测和防御恶意软件,能对Web网站、邮件等勒索软件常用的传播载体进行检测,有效防御目前常见的勒索软件类型,并具备多种威胁告警及处理方式。每天定时更新最新的病毒木马、勒索软件特征,将恶意软件及勒索软件完全隔离在企业边界之外。
未知威胁传播——山石网科云沙箱服务专用于检测和防御未知威胁。在云端拥有海量恶意样本库以及仿真物理分析环境,通过静态样本检测和动态行为分析,提取文件恶意行为,有效发现未知恶意软件,并且通过威胁情报共享,将发现的威胁信息同步到所有启用了云沙箱服务的设备,实现单点发现,全局防护,将未知威胁变为已知威胁,实现威胁的精确阻断。
云沙箱服务还提供检测报告供用户查阅,便于用户分析及判断文件的危害性。从下图中能看出,勒索软件对系统中的关键文件进行加密。
勒索软件执行阶段(攻击后)
感染主机C2连接——山石网科僵尸网络C2防御专用于检测内网僵尸主机,通过识别网络流量中的恶意地址,有效监控内网C&C连接行为,发现内网受感染主机,阻断僵尸网络/勒索软件等高级威胁进一步破坏企业内网。
内网异常行为——山石网科智能安全检测技术专用于检测内网未知网络威胁。能够持续学习内网业务的应用层行为特征,并依照正常的网络行为建立动态安全模型,通过将当前网络层及应用层行为与安全模型进行偏离度分析,能够发现隐藏的网络异常行为,帮助企业用户感知内网威胁。
关于山石网科
山石网科是中国网络安全行业的领军企业,自2006年成立以来即专注于网络安全领域前沿技术的创新,致力于为用户提供全方位、更智能、零打扰的网络安全解决方案。山石网科的业务涵盖云计算安全、边界安全、内网安全、数据安全、安全运维以及安全服务,为来自政府、金融、运营商、互联网、教育等行业的超过15000家客户提供高效、稳定的安全防护。山石网科在中国北京、苏州和美国硅谷均设有研发和技术支持中心,业务版图已经覆盖了全球50多个国家。
来源:freebuf.com 2018-08-24 09:34:42 by: Hillstone
请登录后发表评论
注册