巧设“蜜罐”,定位蓝屏攻击源

释放双眼,带上耳机,听听看~!

这一步做好,能减少一半被勒索的机会

这一个月内,又有几家大型单位被勒索病毒感染,黑客勒索的赎金均为几十万元。 而且在近期的几次勒索事件中,经过我司技术人员的现场取证分析,和之前发现的勒索事件一样,都有一些共同点。关于如何防范,每次的文章我都会写的比较多,引起事件的原因也很多,

近期很多单位被这个Intrusion.Win.MS17-010.o的攻击搞的有点头大,尤其是在医疗行业,我也写了多篇文章介绍这个攻击事件,详细介绍了关于这个攻击的处理办法。《小心,一大波病毒来袭!!》《难道这就是近期医院屡受攻击的原因?

不过在问题的处理上,我们常见的作法是对所有的电脑进行打补丁、封端口和安装专业企业版杀毒软件,问题倒是得到了有效的解决,但对于一些客户尤其是大型客户,这样的操作虽然能彻底解决问题,并不能迅速定位和解决问题,如果能快速定位攻击源,并对这些中毒的电脑进行优先处理,那么无疑会大大降低这次攻击所带来的危害。

下面是我今天处理的一个用户的例子,希望能为大家提供一个解决问题的思路:

情况描述:某单位从昨天开始,收款机的服务器开始出现蓝屏重启的现象,开始以为是硬件故障,于是晚上做了一些处理,如主板除尘、内存条插拔、CPU降温等措施,结果今天又频繁蓝屏,大约十几分钟就要蓝屏一次,频繁的蓝屏导致收款业务受到严重影响。用户怀疑可能是病毒原因,于是联系到了我。

问题分析:根据症状描述,结合最近在其他单位遇到的同样问题,可以初步判定为局域网内存在ShadowBrokers病毒,该病毒利用微软的MS17-010漏洞,通过UDP协议攻击局域网内的其他机器的445端口,如果网络内的电脑没有安装补丁,就会出现频繁的重启现象(该病毒和攻击的详细情况,参看《小心,一大波病毒来袭!!》)。因为该服务器为WINDOWS2000 SERVER操作系统,该系统早已不在微软的服务支持列表中,因此也没有发布针对该系统的补丁程序,导致该服务器频繁重启。

 

解决办法:要彻底解决这次攻击带来的危害,需要找到攻击源,在终端上安装杀毒软件彻底删除病毒体,同时开启主机防火墙,关闭445端口。为了快速定位攻击源,我们在网络内找了几个和重启服务器同网段的终端,在终端上安装卡巴斯基企业防病毒软件客户端。并故意打开系统的445端口(卡巴斯基默认开启防火墙并关闭445端口)并记录所有行为,同时开启“反网络攻击”功能,将这几台终端设计为一个“蜜罐”,以吸引病毒攻击。

大约一个小时之后,我们在报告中就发现了来自几个终端的攻击记录。

根据IP,我们找到了其中的一台,经检查,该电脑不属于该单位所有,而是属于停车场管理公司,但接入该单位网络读取数据,以实现数据共享,该机器为WIN7操作系统,未更新SP1补丁,因此也无法安装MS17-010补丁,在这台电脑上,安装的有某免费的杀毒软件,提示发现ShadowBrokers病毒,并已删除,但检查后发现实际上该病毒一直存在,并在后台不断的发送攻击数据包,通过本地端口攻击遍历攻击局域网内的其他电脑的445端口(遍历一次的时间应该是服务器重启的时间间隔)。

因为该电脑为停车场监控电脑,正是业务高峰期,不能重启,也就无法安装补丁和杀毒软件。因此暂时采取了措施,打开了本机防火墙,阻止了本机对远程445端口的访问。同时准备了一台备用机,安装好补丁和卡巴斯基杀毒软件后,等晚上下班后进行主机替换。

佛性一些,随他吧……

每次讲到安全,我都喜欢讲一个“曲突徙薪”的故事,这个故事出自班固《汉书-霍光传》,原文是:客有过主人者,见其灶直突,旁有积薪,客谓主人:“更为曲突,远徙其薪,不者且有火患”。主人默然不应。俄而果失火,邻里共救之,幸而得息。于是杀牛置酒,谢其

安全建议:

1、 网络内所有的电脑安装MS17-010补丁。注意有些系统要求必须先安装SP1补丁后才可以安装该补丁。

2、 关闭本机的UDP和TCP的445端口,也禁止对远程电脑的445进行访问。

3、 安装专业的企业级杀毒软件,要具备防火墙功能和反网络攻击功能。

4、  进行系统和数据备份。

5、  对网络内所有的接入电脑进行如上的安全防护。对于非本单位但接入本单位网络的电脑要有相应的隔离措施,如防火墙,并进行协议、端口以及访问目标计算机的限制。

关于这个攻击的几点说明:

1、蓝屏的电脑上不一定感染了病毒。是因本机没有打补丁而被攻击。

2、中毒的电脑不一定会蓝屏。中毒的电脑主要是对外发起攻击,并不会造成自身的重启。除非自身没有打补丁,而网络内还有别的电脑中毒发起攻击导致自身被攻击而蓝屏。

3、打过补丁不代表不会中病毒。病毒的感染途径有很多,比如U盘、比如内外网互联。

4、关闭端口不代表不会被攻击。攻击行为是病毒发起的,端口只是攻击的途径。

5、事实上,你很难做到为每一台终端打上补丁。如操作系统版本的问题、盗版的问题等。

6、事实上,你很难关闭每一台电脑的139\445\3389等,且不说病毒攻击的端口会变,即使不变,这些端口你还有其他用途,如果把每一个端口都关了,网络也就不能用了。

7、事实上,任何杀毒软件都不可能承诺你100%的防范所有的病毒和攻击。道高一尺魔高一丈。当然好的专业的杀毒软件和普通的还是有很大区别的。

综上所述,安全事故不可避免,不是会不会发生的问题,而是什么时候发生的问题。我们要做的是:

1、提前做好安全防范措施。要做到防患于未然,未雨绸缪。

2、任何的安全措施都不能保证100%安全,多考虑一些万一的情况,做好应急预案。

欢迎关注:大兵说安全

如果你觉得本文对你有价值,欢迎打赏

本文源自微信公众号:大兵说安全

从“从‘又双叒叕一家单位被勒索了!’想到的”想到的

昨天晚上,我发了一篇公众号文章《又双叒叕一家单位被勒索了!》,鼎信等保测评公司的何威风同学看到后写了一篇《从“又双叒叕一家单位被勒索了”想到的》。我又从他的文章中有有感而发,写下了本文,标题有点拗口,请大家担待一下。 他在文章中写到: 我们在

人已赞赏
安全工具

有了备份,真的就确保安全了吗?

2019-10-14 17:34:30

安全工具

这一步做好,能减少一半被勒索的机会

2019-10-14 17:34:36

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索