《2019上半年企业安全总结》出炉详解企业网络安全现状(8)
时间:2019-09-06 13:23 来源:网络整理 作者:采集插件 点击:次
2018年12月14日下午约17点,腾讯安全御见威胁情报中心监测到一款通过“驱动人生”系列软件升级通道传播的永恒之蓝木马下载器突然爆发,仅2个小时受攻击用户就高达10万,当天腾讯安全御见情报中心全国首发预警。 该病毒会通过云控下发恶意代码,包括收集用户信息、挖矿等,同时利用“永恒之蓝”高危漏洞进行扩散。
但14日的爆发仅仅是个开始,尽管驱动人生公司第一时间将受到木马影响的升级通道进行了紧急关闭,但永恒之蓝木马下载器的幕后控制者并没有就此放弃行动,而是借助其已经感染的机器进行持续攻击: 包括通过云控指令下发挖矿模块,在中招机器安装多个服务以及通过添加计划任务获得持续执行的机会,后续版本在攻击模块新增SMB爆破、远程执行工具psexec攻击、利用Powershell版mimikatz获取密码,以增强其扩散传播能力。 根据腾讯安全御见威胁情报中心监测,仅2019年上半年就变种十余次,是影响范围最大的攻击之一。在下半年或许有更频繁的更新、攻击。 2. “CAXA数码大方”画图软件案例 2019年4月,腾讯安全御见威胁情报中心检测到,有多个“CAXA数码大方”组件均在被ramnit家族感染型病毒感染之后签署上了官方有效的数字签名,被感染的组件具有正常的数字签名信息以及与官方包发布的一致的证书指纹。
企业终端失陷危害分析 终端设备感染病毒失陷后会对企业造成不同程度的危害,常见的危害如敲诈勒索,挖矿占用系统资源,信息窃密,失陷设备被植入后门变成肉鸡等。 其中企业客户感知最明显的为勒索病毒,感染后会加密或删除重要资料文件后进行敲诈勒索,有时即使交付赎金也不一定可以解密,对企业造成重大损失。 随着数字货币的兴起,感染挖矿木马的设备也越来越多,挖矿类病毒木马会占用系统大量资源,造成系统运行卡慢等。 除了挖矿、勒索、信息窃密,有些危害难以被受害者察觉,如被植入后门,风险流氓软件主页劫持,静默刷量等,但这些风险的存在对设备安全存在巨大的安全隐患,企业管理人员不可轻视。 (一) 敲诈勒索 2019上半年中,勒索病毒依然是破坏力最强影响面最广的一类恶意程序,通过恐吓、绑架用户文件或破坏用户计算机等方式,向用户勒索数字货币。在19年上半年累计感染攻击数超250w,其中以2019年1月份最为活跃,2月到6月整体较为平稳,近期略有上升趋势。
最为活跃的仍是GandCrab勒索病毒家族,在欧洲警方和安全厂商的多次打击并接管其服务器后,GandCrab于6月1日宣布停止后续更新。但在利益的驱使下, Sodinokibi勒索病毒很快接管GandCrab的传播渠道,呈后来居上之势。
重大案例情报: 2019年1月,腾讯安全御见威胁情报中心检测到charm勒索病毒在国内开始活跃,该勒索病毒攻击目标主要为企业Windows服务器 2019年2月,腾讯安全御见威胁情报中心检测到新型勒索病毒Clop在国内开始传播,国内某企业被攻击后造成大面积感染,由于该病毒暂无有效的解密工具,致使受害企业大量数据被加密而损失严重。 2019年2月,腾讯安全御见威胁情报中心接到山东某企业反馈,该公司电脑被Aurora勒索病毒加密。 2019年4月,腾讯安全御见威胁情报中心检测发现,勒索病毒Mr.Dec家族新变种出现,该勒索病毒主要通过垃圾邮件传播。 (责任编辑:admin) |
