CDN加速

产品动态 > 正文

勒索攻击致美国紧急预警,是时候完善你的病毒防御体系了!

2021-05-17

近日,美国政府宣布多地进入紧急状态,起因是美国最大的燃油管道运营商Colonial Pipeline遭受黑客勒索病毒攻击,被迫暂时关闭多州的关键燃油网络。路透社报道称,这是有报告的最具破坏性的数字勒索事件之一。

自从2017年WannaCry席卷全球以来,勒索病毒已经成为全球性的安全难题。数据显示,仅在过去一年,全球勒索病毒攻击次数就增长了150%以上,平均赎金提高2倍。然而目前尚未出现对付勒索病毒的“特效药”,应对勒索病毒的核心仍然是事前防范。

网络病毒肆意生长,防不胜防

勒索病毒作为一种流行的网络病毒,通过加密目标系统中的数据文档,向目标政府、企业或个人要求赎金以换取解密密钥。

除了勒索病毒,常见的网络病毒还有木马病毒、蠕虫病毒等。它们的攻击方式和目的各不相同,但可以组合使用,造成更大的破坏。

超高清视频产业重磅政策落地 万亿市场起航在即

随着技术普及、病毒产业链的成熟,网络病毒也变得更加多样化、高频化。面对层出不穷的网络病毒,无论是企业还是机构,一旦中毒,无论处置得多有力,损害都已经造成,因此更应该做好事前防范,正所谓“百治不如一防”。

病毒防御体系核心环节是防入侵

“百治不如一防”,自然是在越早的环节将攻击链斩断,病毒防御效果就越好。

超高清视频产业重磅政策落地 万亿市场起航在即

大部分网络病毒都以个人电脑或服务器为攻击目标。黑客的攻击链大体不外乎先扫描发现薄弱点,由此进入主机后,尝试植入病毒。病毒一旦被成功植入并运行,还会感染其他主机,将破坏面扩大。

因此,只有不晚于入侵环节对黑客进行拦截,才能起到最佳的防御效果。

那么,有哪些入侵方式需要重点关注,及时阻断呢?

暴力破解
超高清视频产业重磅政策落地 万亿市场起航在即

暴力破解可以针对单个用户破解密码,也可以用指定密码反向批量试取用户。黑客只需要通过扫描工具扫描到暴露的端口进行破解,下载病毒,从攻击到获利可全自动化完成。

超高清视频产业重磅政策落地 万亿市场起航在即

当一个IT人员管理着由众多用户使用的成千上万台机器时,每台机器上开了哪些端口、用了哪些密码都不得而知,难以做好防护,这使得暴力破解在入侵方式中占有非常高的比例。

利用漏洞
超高清视频产业重磅政策落地 万亿市场起航在即

通过远程代码执行漏洞,黑客能够向后台服务器注入操作系统命令或恶意代码,直接控制系统,是病毒自动传播最常用的方式。

如果发现了操作系统级别的漏洞,黑客往往会捆绑蠕虫病毒全自动传播,将被入侵的主机作为攻击机,感染其他主机,循环往复,最终形成一个巨型的僵尸网络。

超高清视频产业重磅政策落地 万亿市场起航在即

上传后门

超高清视频产业重磅政策落地 万亿市场起航在即

黑客通过web应用漏洞上传Webshell后门脚本至网站可写目录,可获得网站服务器的控制权限,实现反复多次入侵。通过上传Webshell植入病毒,隐蔽性强。

社会工程学攻击
超高清视频产业重磅政策落地 万亿市场起航在即

社工攻击常通过欺骗手段传播病毒,如以钓鱼邮件发送恶意程序/文档、在第三方下载网站上传带后门的破解软件等。

还有一些比较高级的社工方式,往往影响面极大,比如供应链投毒,包括在编译工具里面植入后门,在标准库里面植入带后门的依赖库等。

参照上述攻击链条,病毒防御体系的建立可以分为两步:

第1步 入侵前:排查风险点,封堵入侵途径

及时更新系统最新补丁,修复漏洞

进行安全基线检测,整改不合规配置

全面检测并修改弱口令,避免被快速暴破

推荐定期进行渗透测试,模拟真实入侵,全面发掘隐患

网宿方案

网宿主机入侵检测系统HIDS可精准识别弱口令、系统及应用漏洞、不合规安全基线,发现可疑账号,加固防线;

网宿同时提供渗透测试服务,由经验丰富的安全攻防专家,结合社会工程学、密码库等高级方法,模拟黑客对网站系统进行全面深入的入侵测试,深度挖掘系统安全缺陷与隐患,协助修复。

第2步 入侵时:实时入侵检测,拦截异常行为

网宿方案

网宿主机入侵检测系统HIDS 可对主机进程、文件完整性、登录日志等实时监测,第一时间发现入侵行为,发出告警;

支持在清点全局主机资产的基础上,对暴力破解设置实时防御;

智能入侵检测引擎关联云端威胁情报,实时感知正在发生的攻击事件,及时处置入侵、清除后门。对于隐蔽性极强的webshell,网宿的检测能力经赛可达实验室认证达到国际先进水平。

若已感染病毒,如何亡羊补牢?

到了病毒已被成功植入并运行的阶段,若能在病毒造成实质破坏前将其查杀,还有机会全身而退,保全资产。

网宿方案

网宿HIDS智能引擎关联病毒库,实时监测文件变动,精准查杀病毒,并提供自动隔离病毒的能力。

若病毒已经造成破坏,当务之急便是及时止损:

断网,物理隔离感染主机,防止感染范围扩大

排查其他主机、业务系统、备份系统是否受到影响,准备恢复业务

检索并清除病毒和后门

更新补丁、病毒库,修复漏洞,防止再次入侵

网宿方案

网宿安全应急响应专家服务,帮助受攻击客户快速、准确应对突发事件,快速清除病毒及木马后门影响、分析入侵原因,及时恢复业务,降低损失;

网宿HIDS亦提供攻击溯源能力,智能分析海量安全日志,结合云端威胁情报,快速定位攻击源,避免更多主机中毒。