勒索病毒強(qiáng)勢來襲 新變種層出不窮
最近幾年,勒索病毒持續(xù)占據(jù)了安全威脅新聞的“頭版頭條”--今年上半年也不例外。亞信安全監(jiān)測發(fā)現(xiàn),GlobeImposter、WannaRen、Sodinokibi勒索病毒在鎖住目標(biāo)主機(jī)的系統(tǒng)或是文件,以勒索贖金的同時,躲避安全軟件的封鎖,其全新的變種都已頻繁出現(xiàn)。
以 GlobeImposter勒索病毒為例,該勒索病毒首次出現(xiàn)于 2017 年,并在接下來的三年中演化了數(shù)個版本,催生了“十二主神”、“十二生肖”系列等多個知名變種。今年上半年,GlobeImposter 勒索病毒攜 C4H 強(qiáng)勢來襲,黑客在入侵企業(yè)內(nèi)網(wǎng)之后,會利用RDP/SMB暴力破解以及多種方法以求獲取登錄憑證,以在內(nèi)網(wǎng)橫向滲透傳播。一旦攻擊成功,該病毒會加密系統(tǒng)中的文件,添加擴(kuò)展名。C4H,繼而在電腦屏幕中提示勒索信息。
【GlobeImposter勒索病毒變種】
目前,亞信安全防病毒服務(wù)器(OSCE)的行為監(jiān)控功能已經(jīng)可以有效攔截GlobeImposter、WannaRen、Sodinokibi等勒索病毒變種,并封堵未知的勒索病毒,阻止其對文件進(jìn)行加密。對于該勒索病毒的防御,亞信安全建議采取3-2-1規(guī)則來及時備份重要文件,通過訪問控制限制外部對于關(guān)鍵業(yè)務(wù)數(shù)據(jù)的訪問,通過補(bǔ)丁管理盡可能降低漏洞攻擊風(fēng)險,并部署多層次、全方位的網(wǎng)絡(luò)安全產(chǎn)品。
挖礦病毒再次活躍 并攀上“新冠”熱點(diǎn)
由于比特幣等數(shù)字貨幣的價格在今年上半年再度上漲,挖礦病毒也開始活躍起來。其中,利用“新冠病毒”郵件傳播的LemonDuck挖礦病毒尤為值得關(guān)注,該病毒會偽裝成“新冠病毒”相關(guān)郵件,給受感染主機(jī)的聯(lián)系人發(fā)送電子郵件,利用好奇心誘導(dǎo)收件人點(diǎn)擊攜帶了挖礦病毒的郵件附件。此外,臭名昭著的“黑球”攻擊也在上半年持續(xù),該病毒同樣會偽裝成為“新冠病毒”相關(guān)郵件,在感染之后會首先試圖結(jié)束殺毒軟件進(jìn)程,繼而執(zhí)行挖礦程序。
【利用“新冠病毒”郵件傳播的LemonDuck挖礦病毒】
不僅僅只有 Windows 系統(tǒng)處于挖礦病毒的陰影之下,企業(yè)用戶常用的 Linux 系統(tǒng)也在上半年遭到了挖礦病毒的入侵。亞信安全發(fā)現(xiàn),StartMiner挖礦病毒會通過Linux 系統(tǒng)的ssh進(jìn)行傳播,創(chuàng)建多個包含2start.jpg字符串的惡意定時任務(wù),繼而下載挖礦和Tsunami僵尸網(wǎng)絡(luò)。
基于相關(guān)威脅事件的觀察和分析亞信安全發(fā)現(xiàn),大量的挖礦病毒傳播都有一個共同點(diǎn),那就是他們都采用的是社交工程的攻擊方式,以‘新冠’等大家非常關(guān)注的熱點(diǎn)事件作為誘餌,并廣泛散播垃圾郵件,吸引受害者點(diǎn)擊。因此,防范挖礦病毒傳播的第一步便是提高員工的網(wǎng)絡(luò)安全意識。目前,亞信安全郵件網(wǎng)關(guān)產(chǎn)品,已經(jīng)可以有效攔截高風(fēng)險的電子郵件;此外,亞信安全高級威脅發(fā)現(xiàn)系統(tǒng) TDA 也可以準(zhǔn)確定位到下載惡意病毒的主機(jī),找到攻擊事件進(jìn)入點(diǎn),并攔截挖礦病毒攻擊。
除了提升員工的網(wǎng)絡(luò)安全意識并部署網(wǎng)絡(luò)安全產(chǎn)品與解決方案之外,亞信安全還建議用戶打全系統(tǒng)補(bǔ)丁程序、設(shè)置高強(qiáng)度密碼,降低漏洞攻擊、弱口令攻擊帶來的風(fēng)險。
“紫狐”及Emotet銀行木馬再度升級
在上半年,木馬攻擊也同樣值得大家注意。其中,升級后的“紫狐”木馬已經(jīng)能夠利用SMB和MSSQL弱口令爆破傳播,并通過產(chǎn)生的惡意回調(diào)加載惡意驅(qū)動;而誕生于2014年的 Emotet 銀行木馬則依然保持了活躍的攻擊態(tài)勢,其最初主要使用網(wǎng)絡(luò)嗅探技術(shù)竊取數(shù)據(jù),后期則通過含有惡意宏代碼的文檔下載記性傳播。值得注意的是,在上半年,此類木馬程序的后臺基礎(chǔ)設(shè)施仍然在不斷更新,并應(yīng)用了流量加密技術(shù)。
目前,亞信安全高級威脅發(fā)現(xiàn)系統(tǒng) TDA 已經(jīng)可以監(jiān)控到 Emotet 銀行木馬的C&C回調(diào),以及MSSQL弱口令爆破,從而定位到感染源機(jī)器,亞信安全Web信譽(yù)也已經(jīng)可以攔截其更新的C2信息,從而幫助用戶更有效地防范此類攻擊。
在風(fēng)云變幻的2020上半年,亞信安全提出了“安全定義邊界”的發(fā)展理念,這不僅指引著亞信安全的技術(shù)戰(zhàn)略,同時也為企業(yè)級用戶提供了可以借鑒的安全運(yùn)營理念和落地方案。下一步,亞信安全在做好技術(shù)分析的同時,也將為更廣大的用戶提供更加高效智能的安全產(chǎn)品和解決方案,實(shí)時播報最新的網(wǎng)絡(luò)威脅風(fēng)險預(yù)警,為更多企業(yè)數(shù)字化業(yè)務(wù)提供安全保障。
關(guān)于亞信安全
亞信安全是中國網(wǎng)絡(luò)安全行業(yè)領(lǐng)跑者,以安全數(shù)字世界為愿景,旨在護(hù)航產(chǎn)業(yè)互聯(lián)網(wǎng)。亞信安全在云安全、身份安全、終端安全、安全管理、高級威脅治理,威脅情報6大核心技術(shù)領(lǐng)域擁有國際領(lǐng)先技術(shù),同時引領(lǐng)5G安全和工業(yè)互聯(lián)網(wǎng)的安全創(chuàng)新。2020年,亞信安全提出“安全定義邊界”的發(fā)展理念,賦能企業(yè)在5G時代的數(shù)字化安全運(yùn)營能力。