主機衛士EDR的一次勒索病毒阻擊戰
安恆信息
網路安全前沿資訊、 應急響應解決方案、技術熱點深度解讀
關注
摘要: 主機衛士EDR的一次勒索病毒阻擊戰 7月20日晚9點,安恆信息某客戶在內網多台機器上發現幾個進程導致CPU佔用率極高,多家友商殺毒軟體不斷報警,但無法停止這些進程的運行,現場人員束手無策。 當晚10點,安恆信息現場技術人員想到近期推出的具備勒索防禦功能模塊的安...
主機衛士EDR的一次勒索病毒阻擊戰
7月20日晚9點,安恆信息某客戶在內網多台機器上發現幾個進程導致CPU佔用率極高,多家友商殺毒軟體不斷報警,但無法停止這些進程的運行,現場人員束手無策。
當晚10點,安恆信息現場技術人員想到近期推出的具備勒索防禦功能模塊的安恆主機衛士EDR。經EDR產品團隊及客戶現場技術人員緊急支持,在數台情況緊急的機器上優先部署了終端。很快產生了大量進程防護日誌:
根據日誌可以發現,機器中存在許多未知勒索病毒,EDR憑藉專利級的誘餌引擎進行捕獲,阻斷其加密行為,暫時控制住病毒的爆發。
到凌晨1點,現場技術人員發現感染病毒的機器上spoolsv.exe在內網不斷進行針對4**埠的掃描和發包行為,試圖發現可攻擊主機,發現目標後執行smb遠程溢出漏洞攻擊,從而進行病毒的傳播。EDR產品團隊立即採取相應措施,迅速查找攻擊源,保證不影響業務的情況下,在相應的機器上部署EDR,配置雙向流量隔離,通過隔離來阻止勒索病毒在內網的擴散或者接收遠程控制端指令:
凌晨2點,現場技術人員配合產品團隊對近百台機器展開病毒查殺並隔離相應的病毒木馬和惡意程序。通過分析EDR的防護日誌,發現此次安全事件是由於客戶機器上4**埠開放且未安裝最新補丁造成的。查明原因後,通過EDR中心推送的補丁信息為客戶部署終端的機器安裝最新補丁,成功完成此次安全事件應急響應,得到客戶的認可。EDR產品組秉承著「客戶第一」的價值觀,第一時間給出百台終端試用授權,目前已針對內網500+端點部署EDR終端。
針對此次安全事件,EDR產品團隊總結出對於勒索病毒的應急流程圖如下:
安恆主機衛士(EDR)勒索防禦功能簡介
對於已知勒索病毒,零誤報,零漏報查殺;
對於未知勒索病毒,採用專利級的誘餌引擎進行捕獲,阻止其加密行為;
通過內核級的流量隔離技術,自動阻止勒索病毒在內網擴散或者接收遠程控制指令;
勒索防禦功能模塊集成在EDR產品中,一鍵開啟;
支持勒索保險:安裝EDR以後,再有勒索中招,賠付由於勒索病毒所發生的贖金、處理、加固等所有費用。
TAG:杭州安恆信息 |