但不是所有的勒索病毒都能成功入侵。

　　最近，深信服終端安全團(tuán)隊(duì)就發(fā)現(xiàn)了這樣一起“勒索未遂”的故事——勒索病毒在用戶開啟 RDP 服務(wù)時入侵，利用暴力破解手段試圖入侵破壞企業(yè)數(shù)據(jù)，被深信服 EDR 安全團(tuán)隊(duì)發(fā)現(xiàn)及時排查清除。

　　那么，該勒索病毒的具體入侵路徑究竟是怎樣的呢？

　　我們一起來看下。

　　反勒索病毒入侵全紀(jì)錄

　　首先，代入一下場景。

　　某天，深信服終端安全專家君哥正在通過深信服 EDR 云端查殺數(shù)據(jù)分析監(jiān)控著世界各地的病毒去向。

　　突然，深信服終端安全專家發(fā)現(xiàn)用戶的客戶端收到了一條告警提醒，仔細(xì)一看事情不妙，馬上開始排查。

　　按照規(guī)矩，深信服終端安全專家立刻用云端日志展開了遠(yuǎn)程“調(diào)查”，通過安全云腦威脅情報(bào)獲取到對應(yīng)的樣本文件，安全專家在本地進(jìn)行了行為分析，證實(shí)確實(shí)為勒索病毒，該勒索病毒分別名為 Makop、Milleni500。

　　不過，大家也不必?fù)?dān)心，這個過程不會涉及任何敏感信息。

　　云端數(shù)據(jù)只上傳病毒查殺日志，包括設(shè)備 ID、查殺時間、病毒文件哈希、查殺路徑，但不會上傳用戶文件，未告警的正常文件也不會上傳任何信息，不會造成敏感信息泄露。

　　1、Makop 勒索病毒的勒索信息如下：

　　2、Milleni500 勒索病毒的勒索信息如下：

　　于是，安全專家聯(lián)系到對應(yīng)的用戶對 EDR 管理平臺和告警終端進(jìn)行詳細(xì)排查。

　　那么，這個病毒究竟是如何入侵的？

　　我們一步步往下看。

　　首先，通過對 EDR 管理平臺檢測日志的分析，發(fā)現(xiàn)產(chǎn)生告警的來源于一臺監(jiān)控服務(wù)器，該服務(wù)器對外網(wǎng)開啟了 RDP 服務(wù)。其中，靜態(tài)文件檢測進(jìn)行了告警，并對勒索病毒文件進(jìn)行了自動處置：

　　緊接著，深信服終端安全專家對該勒索病毒進(jìn)行了更深層次的溯源發(fā)現(xiàn)，該用戶終端一直在遭受持續(xù)的暴力破解攻擊。

　　根據(jù) EDR 日志告警的勒索病毒上傳目錄，與該勒索病毒一同檢出的還有大量黑客工具：包括 NS（用于內(nèi)網(wǎng)掃描）、everything（正常的文件搜索工具，沒有實(shí)際威脅）、ClearLock（一款鎖屏軟件）、bat 腳本（用于刪除備份卷影）。

　　但通過 everything 排查主機(jī)上的EXE文件，未發(fā)現(xiàn)其他可疑情況，排查 asp、aspx、jsp、php 等后綴的文件，未發(fā)現(xiàn)異常。

　　此外，由于服務(wù)器系統(tǒng)日志保留時間較短，無法查到入侵時間點(diǎn)的日志信息，且排查未發(fā)現(xiàn) WebShell 和明顯入侵途徑，入侵方式暫不明確，因此無法溯源到最初的入侵 IP。

　　不過，好在該用戶開啟了 EDR 文件實(shí)時監(jiān)控、勒索病毒防護(hù)實(shí)時監(jiān)控以及自動處置策略，成功攔截了本次事件中上傳的勒索病毒，避免了一次“慘劇”發(fā)生。

　　雖然這一次該用戶“逃過一劫”，但對付勒索病毒除了依靠深信服 EDR 實(shí)時監(jiān)測外，更需要平時的自我防護(hù)，才能讓勒索病毒無可乘之機(jī)。

　　因此，針對該用戶的具體情況，深信服終端安全團(tuán)隊(duì)也給出了一套行之有效的建議：

　　定期進(jìn)行全盤掃描，建議安排安全人員定期進(jìn)行日志分析，提前規(guī)避高危風(fēng)險(xiǎn)點(diǎn)。也可以聯(lián)系安服團(tuán)隊(duì)進(jìn)行公司網(wǎng)絡(luò)安全的全面檢查。

　　作為下一代終端安全產(chǎn)品，深信服 EDR 致力于為企業(yè)級用戶提供「輕量易用，實(shí)時保護(hù)，東西向可視可控」的終端安全防護(hù)能力。

　　目前深信服 EDR 已經(jīng)廣泛應(yīng)用在政府、金融、教育、醫(yī)療、企業(yè)等諸多行業(yè)，部署端點(diǎn)超過 1200W+，全面保障政企事業(yè)單位的終端安全。
　　來源：深信服科技微信公眾號