新闻中心

    新闻中心  >  一次云端排查让勒索病毒当众“伏法” | 反勒索病毒暗战第一期
    一次云端排查让勒索病毒当众“伏法” | 反勒索病毒暗战第一期
    背景图 2021-05-20 00:00:00

    提到勒索病毒,,,,总能和巨额赎金、、、、信息泄露等等重大安全隐患事件联系起来。。。比如近期发生的

    但不是所有的勒索病毒都能成功入侵。。。

    最近,,拓客猫软件终端安全团队就发现了这样一起“勒索未遂”的故事——勒索病毒在用户开启 RDP 服务时入侵,,,,利用暴力破解手段试图入侵破坏企业数据,,被拓客猫软件 EDR 安全团队发现及时排查清除。。。

    那么,,,,该勒索病毒的具体入侵路径究竟是怎样的呢???

    我们一起来看下。。

    反勒索病毒入侵全纪录

    发现威胁

    首先,,代入一下场景。。

    某天,,拓客猫软件终端安全专家君哥正在通过拓客猫软件EDR 云端查杀数据分析监控着世界各地的病毒去向。。。

    突然,,拓客猫软件终端安全专家发现用户的客户端收到了一条告警提醒,,,,仔细一看事情不妙,,,马上开始排查。。。。

    按照规矩,,,,拓客猫软件终端安全专家立刻用云端日志展开了远程“调查”,,通过安全云脑威胁情报获取到对应的样本文件,,安全专家在本地进行了行为分析,,,,证实确实为勒索病毒,,该勒索病毒分别名为 Makop、、、、Milleni500。。。。

    反勒索病毒入侵

    不过,,,大家也不必担心,,这个过程不会涉及任何敏感信息。。。。

    云端数据只上传病毒查杀日志,,,,包括设备 ID、、、查杀时间、、、、病毒文件哈希、、、查杀路径,,,,但不会上传用户文件,,未告警的正常文件也不会上传任何信息,,,不会造成敏感信息泄露。。。附勒索病毒详细信息:

    1、、、Makop 勒索病毒的勒索信息如下:

    Makop勒索病毒

    2、、、、Milleni500 勒索病毒的勒索信息如下:

    Milleni500勒索病毒

    Milleni500勒索病毒的勒索信息

    于是,,,安全专家联系到对应的用户对 EDR 管理平台和告警终端进行详细排查。。。。

    如何入侵

    那么,,这个病毒究竟是如何入侵的????

    我们一步步往下看。。

    首先,,,通过对 EDR 管理平台检测日志的分析,,发现产生告警的来源于一台监控服务器,,该服务器对外网开启了 RDP 服务。。。其中,,,,静态文件检测进行了告警,,并对勒索病毒文件进行了自动处置:

    病毒如何入侵

    紧接着,,拓客猫软件终端安全专家对该勒索病毒进行了更深层次的溯源发现,,,,该用户终端一直在遭受持续的暴力破解攻击。。

    根据 EDR 日志告警的勒索病毒上传目录,,,,与该勒索病毒一同检出的还有大量黑客工具:包括 NS(用于内网扫描)、、、、everything(正常的文件搜索工具,,没有实际威胁)、、、ClearLock(一款锁屏软件)、、bat 脚本(用于删除备份卷影)。。

    暴力破解攻击

    勒索病毒上传目录

    但通过 everything 排查主机上的EXE文件,,,未发现其他可疑情况,,排查 asp、、、aspx、、jsp、、、php 等后缀的文件,,,未发现异常。。。

    此外,,由于服务器系统日志保留时间较短,,无法查到入侵时间点的日志信息,,,,且排查未发现 WebShell 和明显入侵途径,,入侵方式暂不明确,,,因此无法溯源到最初的入侵 IP。。。。

    不过,,,好在该用户开启了 EDR 文件实时监控、、、勒索病毒防护实时监控以及自动处置策略,,,,成功拦截了本次事件中上传的勒索病毒,,,,避免了一次“惨剧”发生。。。。

    拓客猫软件终端安全团队来给您提个醒

    虽然这一次该用户“逃过一劫”,,但对付勒索病毒除了依靠拓客猫软件 EDR 实时监测外,,更需要平时的自我防护,,,才能让勒索病毒无可乘之机。。

    因此,,,针对该用户的具体情况,,拓客猫软件终端安全团队也给出了一套行之有效的建议:

    • 建议关闭 RDP 服务,,,不要对外网直接映射 RDP 服务,,如有业务需要,,建议使用 EDR 的微隔离对于威胁端口进从策略访问控制并封堵或者使用 VPN;

    • 使用 EDR 的基线检查功能,,,查找系统中存在的弱密码,,,,并及时通知相关责任人进行修改;

    • 服务器密码使用复杂密码,,,且不要与其他主机密码重复、、、、不要与外部账号密码重复,,,防止泄露;并使用 KeePass 等密码管理器对相关密码进行加密存储,,,避免使用本地明文文本的方式进行存储;

    • 系统相关用户杜绝使用弱口令,,,同时,,,,应该使用高复杂强度的密码,,,,尽量包含大小写字母、、、、数字、、、特殊符号等的混合密码,,加强运维人员安全意识,,,,禁止密码重用的情况出现,,,并定期对密码进行更改;

    • 已开启 EDR 的 RDP 暴力破解并自动封堵功能,,,当出现暴力破解事件时,,,及时检查密码强度,,并通知相关终端的责任人及时修改相关密码;

    • 建议开启 EDR 的 RDP 二次登录验证功能;

    • 使用 EDR 进行全网的漏洞扫描,,,,发现并及时修补高危漏洞,,,,及时打上补丁;

    • 定期进行全盘扫描,,,,建议安排安全人员定期进行日志分析,,,,提前规避高危风险点。。。也可以联系安服团队进行公司网络安全的全面检查。。

    站点地图