Globelmposter来袭
Globelmposter是Globel勒索病毒的升级和变异版本,已经衍生了多个变种,感染后病毒会对文件进行非对称算法加密并勒索赎金,目前暂无有效的恢复工具。
基于Globelmposter的网络攻击
本次利用Globelmposter进行网络攻击的攻击者渗透目标单位的内网,扫描开启远程访问权限的服务器,并利用黑客工具获取这些服务器的访问权限,最终通过人工方式投放病毒的方式加密目标服务器的文件,达到勒索赎金的目的。
应急查处:
正在使用TINDAE产品线的以下产品的用户,可登录产品进行相关操作,锁定攻击源、排查内网渗透通道、排查潜在感染风险的设备:
² 天懋安全威胁感知系统(TINDAE-STPS)
² 天懋网络违规行为监测分析系统(TINDAE-NBMS)
² 天懋异常连接监测系统(TINDAE-ACM)
² 天懋专网安全雷达系统(TINDAE-RadarX)
1、锁定攻击源
(1)打开“分析视图”找到“TopN端口扫描客户端”菜单;
(2)点击“高级条件”,在“视图条件”页面的“服务器端口”栏输入135、139、445、3389等端口,点击“确定”;
(3)选择查询“时间范围”, 点击“查询”,查询对敏感端口进行扫描的设备(地址);
(4)选定异常设备地址,点击鼠标右键,选择“关联分析”菜单中的“TopN被扫描设备”,获取被扫描的目标设备列表;
(5)根据以上信息,可以判断攻击源、潜在受影响的目标范围;
(6)对攻击源进行查处。
2、排查内网渗透通道
(1)查看“违规外联”告警,查处和封堵内网与互联网的非受控连接节点;
(2)打开“分析视图”,查看“网中网”“移动设备入网”“非受控设备入网”等视图,尽快排查各类不受控的接入节点,避免黑客通过非受控节点对内网进行渗透。
3、排查潜在感染风险的设备
(1)打开“探测策略”,在“扫描探测”的“全端口探测策略”中选择“高级”选项,临时将扫描端口修改为3389(也可添加135、139、445等端口)并执行策略;
(2)打开“分析视图”,在“异常行为”下的“全端口开放”视图中查看开放3389端口的设备列表;
(3)开启“弱口令”扫描功能,针对扫描结果尽快强化设备口令。(启用弱口令扫描功能前,请与天懋信息技术支持部门联系,我们将给予扫描建议。)
安全加固和防护:
(1)部署天懋TINDAE产品,及时发现基于Globelmposter的网络攻击及其他攻击和异常行为;
(2)梳理网络边界策略,严控3389端口访问;
(3)对网络设备进行策略配置,严控135、139、445、3389端口通信;
(4)对重要业务应用系统进行风险评估和安全加固;
(5)备份重要应用和数据,并定期进行恢复演练;
(6)将Windows更新至最新的安全补丁,并部署病毒查杀工具;
(7)开启Windows防火墙,关闭或控制135、139、445、3389端口的访问:
A、控制面板->系统与安全->启用Windows防火墙;
B、点击"高级设置"->点击“入站规则”->选择"新建规则"->规则类型选择“端口”->应用于“TCP”协议,特定本地端口并输入“135”(或139、445、3389)->“操作”选择“阻止连接”->“配置文件”中“规则应用”全部勾选->规则名称任意输入并点击完成。