为您推荐
随着数字经济时代来临,带来产业技术路线革命性变化和商业模式突破性创新,行业应[...]
随着数字化时代的发展,新业务场景持续涌现,所带来的安全威胁不断升级,比如无文[...]
突发事件
北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,共有上百个国家数万台Windows系统电脑中招,包括教育、医疗等重要机构,并仍在迅速蔓延中。国内大量电脑遭遇到勒索软件感染,由于教育网未对445端口进行屏蔽,我国多家高校校园网也受到影响。
事件背景
该勒索软件是一个名为“WanaCrypt0r”的新型勒索软件。目前无法解密受到该类型的勒索软件感染的文件。据悉,这些病毒加载了上个月泄漏出来的美国国家安全局NSA的黑客武器库。除了具有已知勒索软件的特性,通过钓鱼邮件传播外,一旦Wanacrypt0r 进入了企业内网,它可以利用NSA的工具远程攻击内网的Windows系统。而这些强大的NSA工具可以攻破全球70%的Windows系统。
根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的攻击工具 “永恒之蓝”。这个工具会扫描开放445 TCP 端口的Windows机器,攻击如果成功,无需用户任何操作,不法分子就能在目标电脑和服务器中植入Wanacrypt0r勒索软件。
在这次攻击爆发的第一时间,山石智能安全技术的智能下一代防火墙就第一时间发现了某用户主机尝试访问该域名,建立C&C连接通道的网络行,帮助用户及时实施防护,保护IT资产。
攻击过程
Wanacrypt0r勒索软件攻击过程主要为病毒传播、病毒感染 、实施勒索三个步骤:
•此次病毒传播,利用SMB漏洞,使用“永恒之蓝”来进行初始攻击。
•被执行后,WanaCrypt0r加密本地关键文件和网络共享文件夹。
•完成加密后,勒索软件在用户系统弹出提示框,对用户进行勒索。如需恢复被加密文件,需要缴纳赎金。
应对措施
山石网科防勒索软件解决方案,多个维度,提供完美的细致的实时防护和层层防:
在侦查和漏洞利用阶段:
在病毒传播阶段:
在勒索软件执行阶段:
当Wanacrypt0r勒索软件通过网络途径突破入侵防御和病毒过滤的检测及防护,或是通过BYOD带入绕过网络途径的防护措施,进入到执行锁定阶段,山石智能安全检测技术将成为最后一道防线。
山石网科的域名生成算法(Domain Generation Algorithms, DGA)检测到WanaCrypt0r对异常域名的连接,并将其标记为域名相关的威胁事件。根据这个事件的通知,企业安全管理员应该注意到部分内部主机被WanaCrypt0r感染,从而立即采取策略,阻止病毒的传播。
本次事件中,DGA检测到Wanacrypt0r勒索软件攻击中使用了一些DGA域名,“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”就是其中之一。
© 2010 – 2024 山石网科,保留一切权利。 北京市公安局朝阳分局备案编号1101051794 京ICP备09083327号-1 https://beian.miit.gov.cn/