网络西部牛仔的燃情岁月

国内新闻 阅读(949)

5aee3a065be0414292472d916ee496c0

在19世纪60年代,在德克萨斯州的荒野中,风和黄色的沙子卷起了夕阳,无限延迟了夜晚。在旷野的尽头,在太阳和地平线的交界处,有几个人从黄沙中出现。他们骑着骑在马背上的高背靴,戴着宽边毡帽,在腰间砸着柯尔特左轮手枪。

没错,这是许多电影中美国西部牛仔队的经典桥梁。他们乘坐快马,并且因浪漫主义而感到尴尬和自由奔放。它们是个人主义和精神自由的象征。

db0e4ffa243840deb670376dc9065e1c

但真正的牛仔形象是浪漫主义的杀手。

撕掉浪漫的斗篷,真正的牛仔可以随时陷入困境并变得尴尬。在那些日子里,为了保护危机旷野中的牛群,牛仔们不仅要注意狼和蛇的攻击,还要始终防止印第安人的冷箭和标枪,以及极端天气。

网络中的各种文件实际上类似于在西部牧场饲养的畜群。像残酷的西部荒野一样,网络世界也存在各种各样的威胁。如果没有人负责,那么牛群很快就会遭到掠夺。

e73164981e2f4989a3f482606a95186f

最常见的威胁之一是勒索软件,它通过各种方式利用加密来敲诈企业。

公司必须面对两个问题:

1.敲诈勒索时如何解决问题?

2.如何从根本原因入手,勒索软件可以在它从外部侵入之前提前进行防御吗?

在令人信服的走廊拐角处的桌子上,几个“牛仔”讲述了他们在网络中关于西方的故事。

5月29日上午1点,一个集团数据中心的数十台服务器全部感染了勒索软件,业务充满了热情。这时,第二天早上7点的高峰还有6个小时。时间非常紧迫。在用户登录之前必须恢复业务的正常运行以大量使用它,以防止进一步扩大损失。

但是在这么短的时间内,加密文件真的可以完全恢复吗?可以清理勒索软件吗?

当犹豫要支付赎金时,数据中心管理员首先拨打了安全团队确信的电话。

接到电话的安全小组立即赶到事故现场。到达时间已经是凌晨2点。从加密文件的后缀和勒索页面,确认了4月份Globewamposter病毒变种爆发。

除了身体外的病毒,有说服力的工程师还发现系统上留下了几个黑客工具,黑客工具是由Globelmposter勒索软件加密的,但从名称上可以粗略判断,是用于内网扫描和渗透的黑客工具。

cf101dc221bf48a69d3386a51e6bc2f4

黑客拥有专业的入侵工具,工程师自然拥有专业的防御工具。它们被称为深度令人信服的终端检测响应平台EDR。 (这个名字听起来很复杂,但很容易理解,在许多防御工具组合在一起之后,让他们互相帮助,更有效地防御勒索软件。)

通过分析,发现Globelmposter病毒变种本身并不具有传染性,因此应该是黑客将这些勒索软件转移到这些服务器进行勒索。黑客如何远程控制这些服务器?

通过查看中毒主机的Windows日志,您可以发现缺少2018/1/24和2018/5/27之间的时间。结合对Globelmposter病毒在线传播方式的分析,您可以粗略地猜测黑客已经过去了。 RDP入侵此主机的方式。

63c2d627cb79475a8b338034a9285cfc

以下是流行科学下的RDP入侵。

黑客入侵将RDP端口映射到公共网络的主机或服务器,然后使用受感染的设备作为跳板,使用黑客工具攻击连接到内部网络的其他设备。

这种看似侵入性的攻击方法最明显的特征是它可以通过突破弱防御设备进入网络,并且在黑客攻击过程中,执行诸如卸载安全软件和删除日志等操作,使可追踪性工作变得困难。如果Intranet中存在残留的勒索软件文件,即使用户还原备份文件,仍有再次加密的风险。

回到故事的主线,虽然一般都证实黑客通过RDP入侵主机,哪个设备是黑客的跳板?

早上4:30左右,通过EDR扫描,我在服务器上发现了Globewamposter病毒的创建时间。首先,记录病毒的创建时间,2019/05/28 02: 26: 23.

然后比较Windows日志,发现一个非常可疑的RDP连接,时间是2019/5/28 1: 24: 29,这次只是匹配病毒的创建时间。

EDR大致确认了跳板的IP并扫描了设备。在主机上发现了Globelmposter病毒母亲和未加密的黑客工具。黑客工具和病毒母亲来自这台PC。确保PC是黑客用来启动RDP入侵的跳板。

发现的黑客工具主要包括:RDP连接工具,密码窃取工具,端口扫描工具,终端查杀工具和删除备份工具。

047cabd0851d4aa5b10b13b516853364

重新组合黑客的作案手法:

1.黑客连接到公司内部网和外联网的计算机,并将勒索软件和黑客工具复制到PC,使机器成为后续RDP攻击的跳板。

2.使用端口扫描工具扫描Intranet并发现可用端口并通过RDP连接工具进行入侵。

3.连接成功后,黑客将勒索软件和黑客工具传输到服务器,并使用最终查杀工具强制关闭反病毒软件。

4.然后黑客使用密码窃取程序获取本地密码,以使用相同的密码登录其他服务器。

5.执行此操作后,黑客运行勒索软件来加密文件。

6.加密完成后,运行“删除备份”工具删除系统中的文件,以防止客户端恢复文件。

早上6点,EDR完成杀死所有勒索软件,包括跳板,并通过客户之前的其他文件备份恢复,并在7:00之前成功恢复所有操作。

这个惊心动魄的夜晚长期以来一直被西方世界的牛仔用在牛仔队自己的话语中。

“我们永远不知道什么时候会发生威胁,但我们必须时刻准备应对突发威胁。当敲诈勒索时,我们必须保持冷静,首先要隔离受感染的宿主,并切断病毒内外的病毒感染。检查并杀死仍处于停滞状态的病毒,并修复潜在的漏洞,例如系统漏洞。“

安全团队深信的牛仔坦率地说:“说实话,今天,当数据有价值的时候,为时已经太晚了。为了弥补这一点。面对普遍存在的高度勒索软件,我想找出来病毒入侵之前的进展。困难,提前做好防御是整个防御系统中最重要的部分。这本身就是一个矛盾,但对我们来说这是一个非常有趣的挑战。“

检测勒索软件的方法有很多种。目前,有许多技术用于文档信誉检测,基因特征检测和行为分析。

1.文件信誉检测

很容易理解,安全文件标有“QS”标记,类似于食品质量和安全性。当文档需要进入内联网时,必须检查是否存在官方认可的“QS”标记。

2.基因特征检测

如果将普通文件与牛进行比较,病毒文件有时会隐藏自己的特征而潜入内网设备,但即使是伪装,也可以判断该文件是否是病毒的大小特征喇叭,图案的形状和尾巴的长度。已发现的所有病毒签名均由基因签名库记录。

1e39757588234541abf2b5d51064fa4e

3.行为分析和检测

将可疑文件放入模拟真实环境的“虚拟沙箱”中,以查看该文件是否存在可疑行为。如果它是“牛皮中的狼”,它将在这种环境中暴露并恶意执行。操作。

虽然检测技术有很多种,但每种检测方法各有优缺点。通过使用单一检测方法难以实现对赎金病毒的有效防御。在狂野的西部,牛仔需要建立一个有效的防御框架模型,以应对所有可能的威胁。

如果有文件需要进入设备或内部网,则必须在一层通过各种严格的测试。虽然这可以提高杀戮的成功率,但是存在杀伤效率低和占用巨大终端资源等问题。

为了避免这个问题,机智牛仔想到了一种方式,它是一个类似于漏斗的模型。

众所周知,漏斗是一种通过滤纸分离固体和液体混合物的仪器。这具有EDR的多维漏斗型检测框架的原型,但这是后续的,首先看一下漏斗框架模型的效果。

78651c9f38fc4237b0e6d9bc673fb9a0

最高级别是文件信誉检测。如果它是安全且可信的文件,则可以直接释放。如果不确定,它将进入下一层检测。其余步骤将相同,直到最后一个可疑文件难以确定。 “虚拟沙盒”执行行为检测。

这不仅提高了病毒的检测率,还保证了文件检测的效率。

此时,眼前还存在另一个问题,即行为检测技术不能保证非常高的病毒杀灭率,这导致净泄漏的可能性。

为了更好地提高病毒检测率并快速响应未知文件,EDR建立了基于云的安全云脑中心,使用基于多维威胁情报,云沙箱技术,多引擎的大数据分析平台扩展检测技术等,对未知文件的二级响应。

西方世界最大的魅力在于它不断发展,但它也允许出现各种勒索软件和变种。未知的病毒可以说是一种防御性的降维。性打击。

面对未知威胁,我确信轻量级人工智能检测引擎SAVE已经开发出来。牛仔们将这项技术描述为

为了防止病牛危害整个牛群,有必要事先找出并治疗病牛。

在判断奶牛是否生病之前,只能根据奶牛的皮肤变化,如皮肤变化,瘦弱,舌头和粪便来判断,而轻量级人工智能检测引擎SAVE则使用深度学习技术进行分析大量原创功能。通过整合高纬度特征,例如,当母牛生病时,体温,血液成分和病原体会发生变化。通过检查这些根深蒂固的特征,有可能发现未及时发生的疾病,即使生病的奶牛想要伪装自己,也不可能改变这些深层特征。

6f7ffe3733f9426c85fe5ec34d4e8de0

在这一点上,最终形成了确信EDR的多维漏斗型检测框架。

7e2c70aae39a46188824bd789768597e

即使这种防御系统非常成熟,病毒入侵的可能性仍然很小。事实是如此残酷,与双手的无声祈祷相比,西方牛仔相信墨菲定律,更可能发生担忧的事情。

为了防止勒索事件的发生,牛仔们提出了更好的对策。放置诱饵。

EDR会将诱饵文件放在系统密钥目录和随机目录中。当勒索软件被加密到诱饵文件中时,诱饵文件将反馈加密过程,使用EDR来阻止加密并杀死病毒源文件。

a7b7a09e518344e0ab1a247c4abe33aa

从外面厚厚的乌云中,不时有几声雷鸣,牛仔眨了眨眼睛。 “暴雨即将来临,好吧,我们的故事可能就是这样。互联网的西方世界的故事还没有结束。未来可能会有更多。更多未知的威胁在等着我们。”

在略显拥挤的格子花呢中,他们的思绪在黄色白炽灯下无限自由,好像他们可以看到它们从夕阳中奔跑。

后来人们意识到浪漫主义并没有杀死牛仔精神,只是为了让它变得更好。

道路堵塞而且很长,线路将到达。

荒野漫长,你不能忘记它。