Return to site

【安全之道】针对Globelmposter攻击事件的应急处置方案

Globelmposter来袭

Globelmposter是Globel勒索病毒的升级和变异版本,已经衍生了多个变种,感染后病毒会对文件进行非对称算法加密并勒索赎金,目前暂无有效的恢复工具。

基于Globelmposter的网络攻击

本次利用Globelmposter进行网络攻击的攻击者渗透目标单位的内网,扫描开启远程访问权限的服务器,并利用黑客工具获取这些服务器的访问权限,最终通过人工方式投放病毒的方式加密目标服务器的文件,达到勒索赎金的目的。

应急查处

正在使用TINDAE产品线的以下产品的用户,可登录产品进行相关操作,锁定攻击源、排查内网渗透通道、排查潜在感染风险的设备:

  • 天懋专网安全雷达系统(TINDAE-Radar)
  • 天懋网络违规行为监测分析系统(TINDAE-NBMS)
  • 天懋异常连接监测系统(TINDAE-ACM) 
  • 天懋安全威胁感知系统(TINDAE-STPS)

1、锁定攻击源

(1)打开“分析视图”找到“TopN端口扫描客户端”菜单;

(2)点击“高级条件”,在“视图条件”页面的“服务器端口”栏输入135、139、445、3389等端口,点击“确定”;

(3)选择查询“时间范围”, 点击“查询”,查询对敏感端口进行扫描的设备(地址);

(4)选定异常设备地址,点击鼠标右键,选择“关联分析”菜单中的“TopN被扫描设备”,获取被扫描的目标设备列表;

(5)根据以上信息,可以判断攻击源、潜在受影响的目标范围;

(6)对攻击源进行查处。

2、排查内网渗透通道

(1)查看“违规外联”告警,查处和封堵内网与互联网的非受控连接节点;

(2)打开“分析视图”,查看“网中网”“移动设备入网”“非受控设备入网”等视图,尽快排查各类不受控的接入节点,避免黑客通过非受控节点对内网进行渗透。

3、排查潜在感染风险的设备

(1)打开“探测策略”,在“扫描探测”的“全端口探测策略”中选择“高级”选项,临时将扫描端口修改为3389(也可添加135、139、445等端口)并执行策略;

(2)打开“分析视图”,在“异常行为”下的“全端口开放”视图中查看开放3389端口的设备列表;

(3)开启“弱口令”扫描功能,针对扫描结果尽快强化设备口令。(启用弱口令扫描功能前,请与天懋信息技术支持部门联系,我们将给予扫描建议。)

安全加固和防护

(1)部署天懋TINDAE产品,及时发现基于Globelmposter的网络攻击及其他攻击和异常行为;

(2)梳理网络边界策略,严控3389端口访问;

(3)对网络设备进行策略配置,严控135、139、445、3389端口通信;

(4)对重要业务应用系统进行风险评估和安全加固;

(5)备份重要应用和数据,并定期进行恢复演练;

(6)将Windows更新至最新的安全补丁,并部署病毒查杀工具;

(7)开启Windows防火墙,关闭或控制135、139、445、3389端口的访问:

  1. 控制面板->系统与安全->启用Windows防火墙;
  2. 点击"高级设置"->点击“入站规则”->选择"新建规则"->规则类型选择“端口”->应用于“TCP”协议,特定本地端口并输入“135”(或139、445、3389)->“操作”选择“阻止连接”->“配置文件”中“规则应用”全部勾选->规则名称任意输入并点击完成。 
All Posts
×

Almost done…

We just sent you an email. Please click the link in the email to confirm your subscription!

OKSubscriptions powered by Strikingly