雖已到3月,疫情防控仍不可放鬆警惕,未完全復工的企業多采取遠程辦公的方式。為提高遠程辦公的效率,許多企業開啟了業務系統的對外服務,這種模式無疑為蟄伏的網絡攻擊提供了可趁之機。
例如,疫情期間異常活躍的Satan勒索病毒的變種病毒——”5ss5c”
該病毒類似Satan為木馬下載器,它下載並利用永恆之藍和一些poc來進行傳播,勒索模塊就是cpt.exe,遍歷7z,bak,cer,csv,db,dbf,dmp,docx,eps,ldf,mdb,mdf,myd,myi,ora,pdf,pem,pfx,ppt,pptx,psd,rar,rtf,sql,tar, txt,vdi,vmdk,vmx,xls,xlsx,zip後綴名的文件然後加密,加密後添加後綴為.5ss5c,並提示勒索勒索一個比特幣(5W多),如果在2天之內沒有完成支付,則贖金翻倍。
眾所周知,勒索病毒的贖金成本頗高,一旦爆發將致使企業損失慘重。在毫無前兆的高級變種勒索攻擊的形勢下,能夠主動防禦未知的高級威脅,且能快速識別並響應的防禦體系是市場剛需。如果您已部署天蠍終端偵測與響應系統(EDR),即可輕鬆攔截此變種勒索病毒——
首先,登錄天蠍威脅分析平臺,在【威脅分析中心】統覽整體網絡態勢
界面清晰顯示了告警的主機數、告警排行、處置統計、自動攔截的威脅事件、流量最大的進程佔比、事件類型統計、最新10條威脅告警,統覽整體網絡態勢。
其次,通過威脅分析,查看【威脅告警】及【事件列表】
命名為“cptdat.exe”的惡意文件因頻繁修改文件,於3月11日17:46:35被天蠍EDR攔截並告警:
通過事件列表可看出其攻擊的主機及攻擊源IP,且已被自動處置:
點擊【查看】顯示更多細節分析,包括【進程詳情】及【威脅事件列表】
右側的主機信息能確認被攻擊的靶機,根據【文件描述】,顯示此惡意文件正是勒索變種病毒“5SS5C”!
該勒索變種病毒為實現攻擊目標,創建了16個文件,其創建的文件列表也被依次羅列出來:
通過第三方威脅鑑定平臺VirusTotal官網https://www.virustotal.com/,可知此勒索變種病毒“5SS5C”的Hash值已被全球71箇中的63個威脅情報引擎認定為惡意文件:
網思科平威脅分析中心建議,各企業、單位需全面落實網絡安全等級保護制度,切實做好勒索病毒的安全防禦準備,確保關鍵信息和基礎設施的運行安全及數據安全,並採取以下緊急預防措施:
閱讀更多 安全牛 的文章
