99在线视频免费观看_欧美老妇变态按摩_国产 首页 综合_一本加勒比HEZYO熟女_亞洲成av人片在線觀看無_国产av无码专区亚洲版综合_伊人久久大线蕉色首页_91尤物在线精品无码中文_青青草大伊人大_最好看的2018中文字幕高清

提到勒索病毒，總能和巨額贖金、信息泄露等等重大安全隱患事件聯(lián)系起來。比如近期發(fā)生的勒索攻擊致美國半個能源系統(tǒng)停擺的事情。

但不是所有的勒索病毒都能成功入侵。

最近，深信服終端安全團(tuán)隊(duì)就發(fā)現(xiàn)了這樣一起“勒索未遂”的故事——勒索病毒在用戶開啟 RDP 服務(wù)時入侵，利用暴力破解手段試圖入侵破壞企業(yè)數(shù)據(jù)，被深信服 EDR 安全團(tuán)隊(duì)發(fā)現(xiàn)及時排查清除。

那么，該勒索病毒的具體入侵路徑究竟是怎樣的呢？

我們一起來看下。

反勒索病毒入侵全紀(jì)錄

發(fā)現(xiàn)威脅

首先，代入一下場景。

某天，深信服終端安全專家君哥正在通過深信服EDR 云端查殺數(shù)據(jù)分析監(jiān)控著世界各地的病毒去向。

突然，深信服終端安全專家發(fā)現(xiàn)用戶的客戶端收到了一條告警提醒，仔細(xì)一看事情不妙，馬上開始排查。

按照規(guī)矩，深信服終端安全專家立刻用云端日志展開了遠(yuǎn)程“調(diào)查”，通過安全云腦威脅情報獲取到對應(yīng)的樣本文件，安全專家在本地進(jìn)行了行為分析，證實(shí)確實(shí)為勒索病毒，該勒索病毒分別名為 Makop、Milleni500。

不過，大家也不必?fù)?dān)心，這個過程不會涉及任何敏感信息。

云端數(shù)據(jù)只上傳病毒查殺日志，包括設(shè)備 ID、查殺時間、病毒文件哈希、查殺路徑，但不會上傳用戶文件，未告警的正常文件也不會上傳任何信息，不會造成敏感信息泄露。附勒索病毒詳細(xì)信息：

1、Makop 勒索病毒的勒索信息如下：

2、Milleni500 勒索病毒的勒索信息如下：

于是，安全專家聯(lián)系到對應(yīng)的用戶對 EDR 管理平臺和告警終端進(jìn)行詳細(xì)排查。

如何入侵

那么，這個病毒究竟是如何入侵的？

我們一步步往下看。

首先，通過對 EDR 管理平臺檢測日志的分析，發(fā)現(xiàn)產(chǎn)生告警的來源于一臺監(jiān)控服務(wù)器，該服務(wù)器對外網(wǎng)開啟了 RDP 服務(wù)。其中，靜態(tài)文件檢測進(jìn)行了告警，并對勒索病毒文件進(jìn)行了自動處置：

緊接著，深信服終端安全專家對該勒索病毒進(jìn)行了更深層次的溯源發(fā)現(xiàn)，該用戶終端一直在遭受持續(xù)的暴力破解攻擊。

根據(jù) EDR 日志告警的勒索病毒上傳目錄，與該勒索病毒一同檢出的還有大量黑客工具：包括 NS（用于內(nèi)網(wǎng)掃描）、everything（正常的文件搜索工具，沒有實(shí)際威脅）、ClearLock（一款鎖屏軟件）、bat 腳本（用于刪除備份卷影）。

但通過 everything 排查主機(jī)上的EXE文件，未發(fā)現(xiàn)其他可疑情況，排查 asp、aspx、jsp、php 等后綴的文件，未發(fā)現(xiàn)異常。

此外，由于服務(wù)器系統(tǒng)日志保留時間較短，無法查到入侵時間點(diǎn)的日志信息，且排查未發(fā)現(xiàn) WebShell 和明顯入侵途徑，入侵方式暫不明確，因此無法溯源到最初的入侵 IP。

不過，好在該用戶開啟了 EDR 文件實(shí)時監(jiān)控、勒索病毒防護(hù)實(shí)時監(jiān)控以及自動處置策略，成功攔截了本次事件中上傳的勒索病毒，避免了一次“慘劇”發(fā)生。

深信服終端安全團(tuán)隊(duì)來給您提個醒

雖然這一次該用戶“逃過一劫”，但對付勒索病毒除了依靠深信服 EDR 實(shí)時監(jiān)測外，更需要平時的自我防護(hù)，才能讓勒索病毒無可乘之機(jī)。