“易到用車遭遇勒索病毒”、“新型勒索病毒感染醫(yī)療行業(yè)”“當(dāng)心這個(gè)比特幣詐騙軟件���,可在系統(tǒng)中植入勒索病毒”……自今年年初以來(lái)����,關(guān)于勒索病毒的新聞層出不窮���,有的是新型病毒�,有的是“永恒之藍(lán)”余毒未清�;但不管是何種情形,遭遇勒索病毒的用戶��,心情都是一樣的無(wú)比沉重……
勒索病毒���,是一種性質(zhì)惡劣�、危害較大的電腦病毒���,主要通過(guò)郵件�、木馬、網(wǎng)頁(yè)掛馬等形式進(jìn)行傳播����。由于這種病毒利用各種加密算法對(duì)文件進(jìn)行加密,一旦感染一般無(wú)法解密����,必須拿到私鑰才能破解。
勒索病毒家族主要成員
(數(shù)據(jù)來(lái)源于互聯(lián)網(wǎng))
易受攻擊單位行業(yè)分布
(數(shù)據(jù)來(lái)源于互聯(lián)網(wǎng))
事前����,對(duì)基礎(chǔ)信息設(shè)施設(shè)備進(jìn)行掃描探測(cè),對(duì)整體資產(chǎn)進(jìn)行普查���,明確信息系統(tǒng)管理范圍�;進(jìn)而對(duì)漏洞情況進(jìn)行檢查����,確保勒索病毒常規(guī)利用漏洞打好補(bǔ)丁����;對(duì)系統(tǒng)指紋信息進(jìn)行畫像���,治理信息系統(tǒng)開(kāi)放的不合規(guī)端口、高危端口�;針對(duì)系統(tǒng)弱口令情況進(jìn)行檢查,避免黑客對(duì)信息系統(tǒng)進(jìn)行口令爆破及利用���。
事中���,為了控制系統(tǒng)主機(jī)�,黑客通常情況下會(huì)對(duì)主機(jī)植入木馬文件,從而進(jìn)一步控制以及利用��,所以系統(tǒng)環(huán)境的安全措施需具備木馬查殺工具以及針對(duì)文件的上傳下載防護(hù)功能���。
事后����,通過(guò)對(duì)惡意代碼貫穿整個(gè)攻擊生命周期的連續(xù)分析��,采集各種網(wǎng)絡(luò)安全數(shù)據(jù)��、主機(jī)安全數(shù)據(jù)����、威脅情報(bào)數(shù)據(jù)及其他安全數(shù)據(jù)�,利用實(shí)時(shí)和批量大數(shù)據(jù)處理引擎��,結(jié)合機(jī)器學(xué)習(xí)���、深度學(xué)習(xí)等技術(shù)�����,對(duì)整體網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行全面的呈現(xiàn)�、分析及預(yù)測(cè)���,為大范圍的預(yù)警和響應(yīng)提供決策支持�。
快速定位風(fēng)險(xiǎn)范圍
通過(guò)對(duì)系統(tǒng)應(yīng)用指紋畫像��、端口指紋畫像�����,快速定位導(dǎo)致勒索病毒利用的漏洞影響范圍��;
對(duì)系統(tǒng)內(nèi)口令安全情況進(jìn)行檢查��,弱口令作為黑客控制主機(jī)以及勒索病毒入侵利用的主要途徑,需堅(jiān)決避免以及及時(shí)防范�����;
摸清資產(chǎn)臺(tái)賬及指紋信息����,避免未知資產(chǎn)和潛在威脅
通過(guò)資產(chǎn)摸底對(duì)未知資產(chǎn)暴露的漏洞進(jìn)行確定,避免利用未知資產(chǎn)及其漏洞造成的潛在風(fēng)險(xiǎn)���;
結(jié)合大數(shù)據(jù)和人工智能對(duì)整個(gè)勒索病毒攻擊鏈進(jìn)行行為監(jiān)測(cè)與分析
實(shí)時(shí)分析網(wǎng)絡(luò)全流量��,結(jié)合威脅情報(bào)數(shù)據(jù)及網(wǎng)絡(luò)行為分析技術(shù),深度檢測(cè)所有可疑活動(dòng)����。構(gòu)筑檢測(cè)生態(tài)圈,準(zhǔn)確����、快速地掌握攻擊鏈條,以便進(jìn)一步采取相關(guān)措施��,將APT攻擊扼殺在萌芽狀態(tài)���。
自“永恒之藍(lán)”勒索病毒爆發(fā)之后�,每年都有相應(yīng)的勒索病毒變種爆發(fā),對(duì)事發(fā)單位的業(yè)務(wù)運(yùn)營(yíng)造成了嚴(yán)重影響�����。不管是2017年的“永恒之藍(lán)”�����、2018年的“ 撒旦”還是2019年的“ GlobeImposter”等各種勒索病毒其變種病毒�����,其攻擊原理�,都是利用了相應(yīng)的操作系統(tǒng)或者漏洞、協(xié)議的弱口令等進(jìn)行入侵��,通過(guò)共享服務(wù)端口進(jìn)行內(nèi)網(wǎng)傳播�����。盛邦安全針對(duì)勒索病毒�����,給出的建議如下:
-
對(duì)重要的業(yè)務(wù)系統(tǒng)數(shù)據(jù)要有數(shù)據(jù)備份的機(jī)制;
-
要常態(tài)地化對(duì)服務(wù)器��、應(yīng)用系統(tǒng)進(jìn)行漏洞檢測(cè)�����,及時(shí)發(fā)現(xiàn)��、及時(shí)修復(fù)���;
-
對(duì)于不常用的服務(wù)端口需要采取關(guān)閉或者加固措施�,比如:139端口��,145端口�,455端口,3389端口����;
-
對(duì)3389協(xié)議進(jìn)行弱口令檢測(cè)�����,并強(qiáng)制要求所有的服務(wù)器和終端定期修改復(fù)雜密碼�,杜絕弱口令���;
-
及時(shí)升級(jí)殺毒軟件與操作系統(tǒng)補(bǔ)丁�����;
-
在windows系統(tǒng)中禁用u盤自動(dòng)運(yùn)行功能����;
-
提升安全意識(shí),不要隨意打開(kāi)來(lái)路不明的郵件附件��;
-
服務(wù)器開(kāi)啟日志收集功能����,或者網(wǎng)絡(luò)中部署日志審計(jì)設(shè)備,確保在攻擊發(fā)生后能夠?yàn)閷?shí)踐溯源提供基礎(chǔ)數(shù)據(jù)���;
-
加強(qiáng)監(jiān)測(cè)�����,制定應(yīng)急處置方案�,做好應(yīng)急演練。
