當(dāng)最繁忙的港口遭遇“勒索風(fēng)暴”突襲后……
2019-07-31 12:51 來源:美創(chuàng)
想象下,一座集散貨、件雜、集裝箱、多式聯(lián)運(yùn)業(yè)務(wù)功能于一體的現(xiàn)代化綜合港區(qū),突然之間成為勒索的“風(fēng)暴中心”,會(huì)是什么樣子?
2019年4月份,我國(guó)某大型港口就遭遇勒索病毒三次瘋狂入侵。
一、港口被黑客“盯上”了
作為物流轉(zhuǎn)運(yùn)重要樞紐、全球化進(jìn)程中的重要一環(huán)——港口,如今正在開始新一輪“碼頭革命”。
但在對(duì)自動(dòng)化、智能化港口追尋破題之道的同時(shí),長(zhǎng)期以來,港口行業(yè)的防御系統(tǒng)脆弱卻始終是個(gè)大問題,而勒索病毒的爆發(fā)更是讓這一問題愈加棘手。
近些年,全球各大港口被勒索事件頻發(fā):
? 2017年6月29日,位于印度商業(yè)中心孟買郊區(qū)的印度最大集裝箱港口因受全球新一輪勒索病毒“Petya”的影響,一直在使用人力來清理集裝箱,三分之一的碼頭運(yùn)營(yíng)被迫中斷····
? 2018年9月,美國(guó)圣地亞哥港信息系統(tǒng)被感染勒索軟件,包括港口的進(jìn)出許可無法正常發(fā)放。
勒索病毒來勢(shì)洶洶,一旦被入侵,將會(huì)對(duì)港口持續(xù)運(yùn)轉(zhuǎn)的業(yè)務(wù)造成巨大損失,為了避免此事件的發(fā)生,該大型港口未雨綢繆,多次進(jìn)行安全防護(hù)加固,更是從防刪除、防加密入手,在重要數(shù)據(jù)服務(wù)器和PC端部署了美創(chuàng)諾亞防勒索系統(tǒng),開啟默認(rèn)保護(hù)模式。
但2019年4月某日凌晨 ,美創(chuàng)技術(shù)服務(wù)工程師接到客戶緊急咨詢,客戶發(fā)現(xiàn)相關(guān)信息系統(tǒng)疑似被勒索病毒攻擊。
為及時(shí)了解情況,美創(chuàng)技術(shù)服務(wù)工程師第一時(shí)間在線上遠(yuǎn)程判斷定位問題,與此同時(shí),其他美創(chuàng)工程師在凌晨03:51抵達(dá)“現(xiàn)場(chǎng)”,采集病毒樣本。
經(jīng)過分析判斷:客戶服務(wù)器被勒索病毒攻擊,同時(shí),勒索病毒對(duì)諾亞防勒索系統(tǒng)本身、諾亞防勒索系統(tǒng)保護(hù)的文件也發(fā)起了多次的攻擊。所幸的是,美創(chuàng)諾亞防勒索作為最后一道防線,從發(fā)現(xiàn)到快速攔截,有效防護(hù)住了系統(tǒng)重要文件,避免造成更大影響 。
二、攻擊連連,這場(chǎng)病毒來頭不小
那么,美創(chuàng)諾亞防勒索系統(tǒng)與病毒的始作俑者玩了一次怎樣的“貓和老鼠”的游戲?
美創(chuàng)工程師在諾亞防勒索后臺(tái)管理系統(tǒng),通過攻擊日志查詢功能,對(duì)此次黑客勒索病毒的攻擊時(shí)間線進(jìn)行梳理,美創(chuàng)工程師發(fā)現(xiàn),黑客對(duì)港口共發(fā)起了三次攻擊:
第一輪:3月23號(hào),黑客利用網(wǎng)絡(luò)漏洞,通過上傳payload.exe展開自動(dòng)化攻擊,病毒不停的嘗試對(duì)文件進(jìn)行加密破壞,但并未成功,諾亞防勒索第一時(shí)間進(jìn)行攔截并隔離。
第二輪:4月26號(hào)18:00分,黑客攻擊受阻后,開始進(jìn)行遠(yuǎn)程登錄客戶服務(wù)器,手工上傳并執(zhí)行payload.exe,進(jìn)行“人工投毒”。
眾所周知,攻擊者一旦遠(yuǎn)程登陸一臺(tái)機(jī)器,就會(huì)通過工具手工關(guān)閉殺軟,植入并運(yùn)行勒索病毒,并繼續(xù)掃描攻擊局域網(wǎng)中的其它機(jī)器。此外由于局域網(wǎng)中大量機(jī)器使用弱口令和相同密碼,給攻擊者提供了便利。而諾亞防勒索則第一時(shí)間攔截并隔離,黑客上傳并執(zhí)行PChunter.exe,嘗試殺掉諾亞防勒索進(jìn)程,諾亞防勒索第一時(shí)間攔截并隔離。
第三輪:4月26號(hào)18:16分,黑客通過DLL注入到正常進(jìn)程mstsc.exe,并在20:12分管理員遠(yuǎn)程登錄后觸發(fā)該惡意DLL,由于mstsc.exe在諾亞防勒索系統(tǒng)開啟堡壘機(jī)模式前已存在,因此在20:12分之后產(chǎn)生大量加密文件,在該惡意DLL嘗試刪除重要文件時(shí),諾亞防勒索成功攔截相應(yīng)行為。
從第一輪自動(dòng)化攻擊到第二輪人工遠(yuǎn)程“投毒”,此次諾亞防勒索系統(tǒng)與勒索病毒的攻防較量,所暴露出的黑客攻擊手段和行為特征,值得用戶關(guān)注:
一方面,勒索病毒的傳播場(chǎng)景將更加多樣、攻擊目標(biāo)更加精確。
另一方面,勒索病毒不會(huì)死去,只會(huì)不斷地變相繁衍,成為未來危害用戶數(shù)據(jù)安全的一大重點(diǎn)。企業(yè)進(jìn)行事中防御和事后補(bǔ)救,遠(yuǎn)不及事前防御更讓人來得心安。
正如事后美創(chuàng)技術(shù)服務(wù)工程師所說:“‘江湖’上一直存在的有關(guān)于勒索病毒的信息,但不足以描述其萬(wàn)分之一。只有真正的遇到它時(shí),你才能體會(huì)到,勒索病毒的攻擊會(huì)多么不擇手段。”
三、諾亞:讓港口不再成為被勒索的“風(fēng)暴中心”
然而,勒索軟件的出現(xiàn)反應(yīng)了傳統(tǒng)殺毒軟件的“軟肋”,勒索病毒新變種不斷產(chǎn)生,以及利用漏洞來避免被識(shí)別,甚至擁有自我保護(hù)機(jī)制,這使得傳統(tǒng)基于特征碼的防護(hù)方式效用大減。
美創(chuàng)諾亞防勒索系統(tǒng)則基于零信任體系構(gòu)建,采用獨(dú)特的底層白名單技術(shù),對(duì)無論是辦公電腦上的類型化文檔(*docx、*xlsx等),還是服務(wù)器上的數(shù)據(jù)庫(kù)文件,以及啞終端(ATM、加油站等)進(jìn)行主動(dòng)防護(hù)。
“諾亞”并不關(guān)心病毒特征,可監(jiān)控所有進(jìn)程的寫操作,對(duì)于非法寫操作進(jìn)行阻斷,從而對(duì)勒索病毒的寫操作進(jìn)行控制,就算被植入勒索病毒,勒索病毒也無法對(duì)文件進(jìn)行加密。同時(shí)支持通過白名單機(jī)制監(jiān)控所有進(jìn)程,精準(zhǔn)識(shí)別文件的操作行為,確保只有被允許的合法操作才能被執(zhí)行,避免勒索病毒對(duì)文件加密和修改。
從而實(shí)現(xiàn):
1、主動(dòng)防護(hù)已知和未知的勒索病毒,全面防范勒索病毒攻擊,確保信息系統(tǒng)的高可用和數(shù)據(jù)安全性。
2、保護(hù)Oracle,SQL Server,MySQL,DB2等關(guān)鍵數(shù)據(jù)庫(kù)系統(tǒng)在受到勒索病毒入侵時(shí),依然保持正常運(yùn)轉(zhuǎn),在極端情況下最底限保證數(shù)據(jù)不被破壞,數(shù)據(jù)不丟失。
3、統(tǒng)一的策略,安全管控各主機(jī),無需額外增加安全管理和人力成本,大大節(jié)省了管理上所需花費(fèi)的開銷.
4、健全安全風(fēng)險(xiǎn)防護(hù)機(jī)制和積極響應(yīng)機(jī)制,未雨綢繆,提高網(wǎng)絡(luò)健壯性和抗攻擊能力。
-
暫無記錄