勒索病毒強勢來(lái)襲 新變種層出不窮
最近幾年,勒索病毒持續占據了安全威脅新聞的“頭版頭條”--今年上半年也不例外。亞信安全監測發(fā)現,GlobeImposter、WannaRen、Sodinokibi勒索病毒在鎖住目標主機的系統或是文件,以勒索贖金的同時(shí),躲避安全軟件的封鎖,其全新的變種都已頻繁出現。
以 GlobeImposter勒索病毒為例,該勒索病毒首次出現于 2017 年,并在接下來(lái)的三年中演化了數個(gè)版本,催生了“十二主神”、“十二生肖”系列等多個(gè)知名變種。今年上半年,GlobeImposter 勒索病毒攜 C4H 強勢來(lái)襲,黑客在入侵企業(yè)內網(wǎng)之后,會(huì )利用RDP/SMB暴力破解以及多種方法以求獲取登錄憑證,以在內網(wǎng)橫向滲透傳播。一旦攻擊成功,該病毒會(huì )加密系統中的文件,添加擴展名。C4H,繼而在電腦屏幕中提示勒索信息。
【GlobeImposter勒索病毒變種】
目前,亞信安全防病毒服務(wù)器(OSCE)的行為監控功能已經(jīng)可以有效攔截GlobeImposter、WannaRen、Sodinokibi等勒索病毒變種,并封堵未知的勒索病毒,阻止其對文件進(jìn)行加密。對于該勒索病毒的防御,亞信安全建議采取3-2-1規則來(lái)及時(shí)備份重要文件,通過(guò)訪(fǎng)問(wèn)控制限制外部對于關(guān)鍵業(yè)務(wù)數據的訪(fǎng)問(wèn),通過(guò)補丁管理盡可能降低漏洞攻擊風(fēng)險,并部署多層次、全方位的網(wǎng)絡(luò )安全產(chǎn)品。
挖礦病毒再次活躍 并攀上“新冠”熱點(diǎn)
由于比特幣等數字貨幣的價(jià)格在今年上半年再度上漲,挖礦病毒也開(kāi)始活躍起來(lái)。其中,利用“新冠病毒”郵件傳播的LemonDuck挖礦病毒尤為值得關(guān)注,該病毒會(huì )偽裝成“新冠病毒”相關(guān)郵件,給受感染主機的聯(lián)系人發(fā)送電子郵件,利用好奇心誘導收件人點(diǎn)擊攜帶了挖礦病毒的郵件附件。此外,臭名昭著(zhù)的“黑球”攻擊也在上半年持續,該病毒同樣會(huì )偽裝成為“新冠病毒”相關(guān)郵件,在感染之后會(huì )首先試圖結束殺毒軟件進(jìn)程,繼而執行挖礦程序。
【利用“新冠病毒”郵件傳播的LemonDuck挖礦病毒】
不僅僅只有 Windows 系統處于挖礦病毒的陰影之下,企業(yè)用戶(hù)常用的 Linux 系統也在上半年遭到了挖礦病毒的入侵。亞信安全發(fā)現,StartMiner挖礦病毒會(huì )通過(guò)Linux 系統的ssh進(jìn)行傳播,創(chuàng )建多個(gè)包含2start.jpg字符串的惡意定時(shí)任務(wù),繼而下載挖礦和Tsunami僵尸網(wǎng)絡(luò )。
基于相關(guān)威脅事件的觀(guān)察和分析亞信安全發(fā)現,大量的挖礦病毒傳播都有一個(gè)共同點(diǎn),那就是他們都采用的是社交工程的攻擊方式,以‘新冠’等大家非常關(guān)注的熱點(diǎn)事件作為誘餌,并廣泛散播垃圾郵件,吸引受害者點(diǎn)擊。因此,防范挖礦病毒傳播的第一步便是提高員工的網(wǎng)絡(luò )安全意識。目前,亞信安全郵件網(wǎng)關(guān)產(chǎn)品,已經(jīng)可以有效攔截高風(fēng)險的電子郵件;此外,亞信安全高級威脅發(fā)現系統 TDA 也可以準確定位到下載惡意病毒的主機,找到攻擊事件進(jìn)入點(diǎn),并攔截挖礦病毒攻擊。
除了提升員工的網(wǎng)絡(luò )安全意識并部署網(wǎng)絡(luò )安全產(chǎn)品與解決方案之外,亞信安全還建議用戶(hù)打全系統補丁程序、設置高強度密碼,降低漏洞攻擊、弱口令攻擊帶來(lái)的風(fēng)險。
“紫狐”及Emotet銀行木馬再度升級
在上半年,木馬攻擊也同樣值得大家注意。其中,升級后的“紫狐”木馬已經(jīng)能夠利用SMB和MSSQL弱口令爆破傳播,并通過(guò)產(chǎn)生的惡意回調加載惡意驅動(dòng);而誕生于2014年的 Emotet 銀行木馬則依然保持了活躍的攻擊態(tài)勢,其最初主要使用網(wǎng)絡(luò )嗅探技術(shù)竊取數據,后期則通過(guò)含有惡意宏代碼的文檔下載記性傳播。值得注意的是,在上半年,此類(lèi)木馬程序的后臺基礎設施仍然在不斷更新,并應用了流量加密技術(shù)。
目前,亞信安全高級威脅發(fā)現系統 TDA 已經(jīng)可以監控到 Emotet 銀行木馬的C&C回調,以及MSSQL弱口令爆破,從而定位到感染源機器,亞信安全Web信譽(yù)也已經(jīng)可以攔截其更新的C2信息,從而幫助用戶(hù)更有效地防范此類(lèi)攻擊。
在風(fēng)云變幻的2020上半年,亞信安全提出了“安全定義邊界”的發(fā)展理念,這不僅指引著(zhù)亞信安全的技術(shù)戰略,同時(shí)也為企業(yè)級用戶(hù)提供了可以借鑒的安全運營(yíng)理念和落地方案。下一步,亞信安全在做好技術(shù)分析的同時(shí),也將為更廣大的用戶(hù)提供更加高效智能的安全產(chǎn)品和解決方案,實(shí)時(shí)播報最新的網(wǎng)絡(luò )威脅風(fēng)險預警,為更多企業(yè)數字化業(yè)務(wù)提供安全保障。
關(guān)于亞信安全
亞信安全是中國網(wǎng)絡(luò )安全行業(yè)領(lǐng)跑者,以安全數字世界為愿景,旨在護航產(chǎn)業(yè)互聯(lián)網(wǎng)。亞信安全在云安全、身份安全、終端安全、安全管理、高級威脅治理,威脅情報6大核心技術(shù)領(lǐng)域擁有國際領(lǐng)先技術(shù),同時(shí)引領(lǐng)5G安全和工業(yè)互聯(lián)網(wǎng)的安全創(chuàng )新。2020年,亞信安全提出“安全定義邊界”的發(fā)展理念,賦能企業(yè)在5G時(shí)代的數字化安全運營(yíng)能力。
