8月21日起,多地发生GlobeImposter病毒勒索事件,当然广州也不例外,本次事件是主要针对某些行业和机构,通过RDP远程桌面进行入侵的勒索病毒。这种病毒会利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密,以此来勒索用户缴纳赎金。GlobeImposter病毒感染用户数量多,破坏性强,风险等级被评为高。
22日早上比特豹客户服务专员突然收到某客户通知,他们的个别服务器受到该病毒侵扰,比特豹信息安全服务团队立即采取应急预案,前往该客户进行排查处理。
比特豹首先对勒索病毒及其变种传播及时告警,利用TDA设备对传播类型、传播途径、恶意代码传播、回连CC域名、漏洞利用等行为进行深度解析,通过对该病毒动态行为分析,捕捉其动态行为、网络行为注册行为等信息准确定位病毒源和感染主机。
准确定位病毒源后采用专杀工具进行病毒清除并加固,通过一天的紧罗密布,最终顺利完成病毒的清除,然后在其服务器安装了亚信安全客户端,加固安全防护。在处理勒索病毒事件上,比特豹有着丰富的经验,能够快速定位病毒源,并及时阻止和清除。这次的应急措施也充分体现我们的服务理念“我的一车一豹,随叫随到”。
由于GlobelImposter病毒传播的广泛性和极强的破坏性,在面的此类问题时,比特豹总结出了以下解决方案:
紧急处理方案
1.对于已感染该病毒的服务器:下线隔离。
2.对尚未感染该病毒的服务器:
1)在网络边界防火墙上全局关闭3389端口,或3389端口只对特定IP开放。
2)开启Windows防火墙,尽量关闭3389、445等不用的高危端口。
3)加强服务器口令设置,且复杂度要求采用大小写字母、数字、特殊符号混合的组合,至少在15位以上。
对于已经下线隔离的服务器,要进行日志及样本分析。
1. 所有服务器、终端应强行实施复杂密码策略,及时安装漏洞补丁,及时更新病毒库。
2. 内网安全区域之间限制严格的ACL,限制重要区域的访问权限并关闭telnet等不必要的服务,并在网络内架设IDS/IPS设备。
3. 要对业务数据进行备份,建立安全容灾预案。
安全加固是一个动态过程,在日常工作中,要实时加强对网络安全状态的检测,要常态化安全检查和评估,及时发现安全隐患、补全漏洞,确保信息安全运行。
