2024年2月26日 某集团服务器遭受勒索病毒袭击,找寻我司协助恢复,我司排查后发现是一个勒索组织的入侵,利用弱口令爆破对客户公司服务器植入病毒,致使客户服务器数据无法读取,导致重要系统被锁无法使用。
经过分析,该病毒家族为Phobos,我司解密专家通过多种技术手段成功将加密文件全部恢复,负责人确认该恢复文件内容无误。
在2024年2月27日至2024年3月5日期间半岛彩票平台,我司线人次对该集团受害服务器进行应急响应、数据备份、溯源分析、漏洞修复、网络排查修复等多项工作,更是投入公司网络安全实验室多位安全专家参与病毒的逆向分析、日志的溯源分析和解密工作,并都出色完成各项任务半岛彩票平台,达成客户要求指标。
最初确定入侵时间为2024/2/8 03:05:29,密码爆破成功,通过跳板机登陆并修改Administrator管理员的密码进行RDP远程桌面连接
2.2软件运行分析详情病毒分析内容可见【病毒分析】phobos家族2700变种加密器分析报告
Solar团队第一时间对受害机器的相关情况进行了排查,最终成功解密和恢复了被加密的数据文件,同时还对客户的网络安全情况做了全面的评估,并提供了相应的解决方法和建设思路,获得了客户的高度好评。
完成解密后,Solar团队使用专用后门排查工具对客户服务器的自启动项、计划任务、可疑网络连接、账号密码强度、可疑进程等项目进行了排查,并对隐患项提出了安全加固建议,确保不存在遗留后门,并对服务器进行快照及备份处理。下表为安全加固排查总表:
1. 风险消减措施资产梳理排查目标:根据实际情况,对内外网资产进行分时期排查
服务方式:调研访谈、现场勘查、工具扫描服务关键内容:流量威胁监测系统排查、互联网暴露面扫描服务、技术加固服务、集权系统排查
通过对安全现状的梳理和分析,识别安全策略上的不足,结合目标防御、权限最小化、缩小攻击面等一系列参考原则,对设备的相关配置策略进行改进调优,一方面,减低无效或低效规则的出现频次;另一方面,对缺失或遗漏的规则进行补充,实现将安全设备防护能力最优化。
网络安全防护设备、系统防护软件、日志审计与分析设备、安全监测与入侵识别设备。
1.提供相关的安全意识培训材料,由上而下分发学习2.组织相关人员线上开会学习。线上培训模式。
勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防半岛彩票平台。而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“solar专业应急响应团队”。
团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。团队也先后通过了ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系 、ITSS(信息技术服务运行维护标准四级)等认证,已构建了网络安全行业合格的资质体系