安全通报

当前位置:首页 > 资讯 > 安全通报

通知公告资源动态新闻动态安全通报

2018-2019-2第一期网络与信息安全简报

发布时间:2019-03-18 文章来源:信息服务中心 点击次数:

分析研判,此次勒索病毒主要利用 3389 端口对 Windows 服务器实施网络攻击。该病毒利用自带密码本破解服务器远程桌面服务(3389 端口)口令,破解后病毒程序对本地文档实施加密开展勒索活动,并以该主机为跳板感染内网其他服务器。

1、漏洞情况分析

Globelmposter勒索病毒首次出现发生在2017年5月,第二次出现在2017年11月。GlobeImposter2.0勒索病毒在今年2月份被发现,随后8月再次爆发。由于Globelmposter3.0采用RSA+AES算法加密,文件被加密后会被加上Ox4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES.txt”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等。

1.jpg 

(1)该病毒在被感染系统中生成如下自身拷贝文件:%AppDataLocal%\{Malware Name}.exe

(2)在系统目录中生成如下文件:

%SystemRoot\Users\Public\B26A340109A0081ADF57D63647533B8681DC0B8E159BE 052385ED4024E9CFFBC

(3)为达到自启动目的,该病毒添加如下注册表键值:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce BrowserUpdateCheck = %Application Data%\{Malware name}.exe

(4)被加密后的文件扩展名为:ALCO

(5)其会在加密文件路径下,生成如下勒索提示信息文件:how_to_back_files.html

(6)生成的勒索提示文件,主要包括受害者个人的ID序列号和勒索者的联系方式

2、漏洞影响范围

Windows 服务器

3、漏洞处置建议

由于Globelmposter3.0采用RSA+AES算法加密,目前该勒索病毒加密的文件暂无解密工具,请使用以下手段进行应急防范。

1. 不点击来源不明的邮件以及附件,尤其是如下扩展名的附件:.js, .vbs, .exe, .scr, or .bat;

2. 不要点击来源不明的邮件以及附件,可能包含密码抓取工具或其他木马病毒;

3. 更改默认administrator管理帐户,禁用GUEST来宾帐户;

4. 更改复杂密码,字母大小写,数字及符号组合的密码,不低于10位字符;不要使用电话号码,学号等纯数字作为账号密码;

5. 设置帐户锁定策略,在输入5次密码错误后禁止登录;

6. 安装杀毒软件,设置退出或更改需要密码,防止杀毒软件被恶意关闭;

7. 定期进行数据备份,如是云服务器,一定要做好快照;

8. 服务器尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,3389,135,139等;

9. 禁止系统自带远程协助服务,使用其它远程管理软件,例如:TeamViewer,并妥善保管好密码。

10. 及时更新windows补丁。

对中招勒索病毒的用户,包括Globelmposter2.0和3.0变种,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。

二、防御情况(来自WAF、防火墙)

1、告警分类统计报表

22.jpg 

2、告警分类统计数据

2.jpg 

 

上半月,根据我校WAF防护结果统计,主要的攻击威胁如下

事件类型

事件次数

HTTP协议违背

12855

HTTP访问控制事件

12618

COOKIE篡改

7534

资源盗链

3378

WEB构件漏洞攻击

2013

爬虫事件

1906

SQL注入攻击

997

WEB服务器漏洞攻击

84

XPATH注入攻击

55

非法下载

43

总计

41483

 

1HTTP协议违背:共拦截12855次;

2HTTP访问控制事件,共拦截12618次。

3Cookie篡改,拦截7534次; 

4)资源盗链:共拦截3378

5WEB构件漏洞攻击,共拦截2013次;

3、防火墙名单

   根据WAF、防火墙的防护情况,针对频繁次数攻击威胁的公网IP进行拉黑处理,03月份上半月拉黑地址20

三、上半月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告,上半月境内感染网络病毒的主机数量约为46.3万个。

上半月 CNCERT 监测发现境内被篡改网站数量为1300个; 境内被植入后门的网站数量为1074个;针对境内网站的仿冒页面数量为3218

四、建议防范措施

根据我校03月份上半月整体网络与信息安全情况及外部网络威胁情况,针对本次Globelmposter勒索病毒,用户应尽可能加强计算机远程桌面的安全防护,通过修改远程桌面默认3389端口规避病毒入侵。同时提升系统登录密码的复杂度。