Phobos家族勒索病毒事件处置
近日,全球最大金矿、最大钼生产商、主要铜生产商自由港公司遭受网络攻击,部分系统被迫关闭,对生产造成了一定影响。近年来,恶意病毒程序对生产网络攻击已经逐渐成为常态,威努特技术工程师近几日接到某建材行业客户反馈,生产系统中了勒索病毒,导致DCS系统停止服务,全厂停工停产。威努特技术工程师第一时间指导客户做应急处理,后赶赴现场,协助客户恢复系统服务。
在协助客户将勒索病毒清理干净之后,应客户要求在中过勒索病毒的服务器上安装了威努特主机防勒索系统,到目前为止,所有系统服务器都没有再遭受过勒索病毒的侵扰,保证了系统的稳定运行。
将客户现场提取到的病毒样本,拷贝到安装有威努特防勒索系统的主机上,经过测试,威努特防勒索系统能够完美地防护Phobos勒索病毒,能够有效地避免勒索病毒对主机造成破坏。测试效果如下图所示:
图1 防勒索系统对Phobos勒索病毒的防护效果
臭名昭著的Phobos家族
Phobos攻击链及应对防护措施
01
第一阶段:系统配置篡改
Phobos在进入到服务器系统之后,会首先使用第三方软件或工具来替代Windows操作系统自带的基础功能,然后对防火墙的配置进行更改,修改完配置后,主机自带的压缩功能和外接USB口皆不能使用。
图2 Phobo修改基础配置
图3 防勒索针对异常调用的阻断
02
第二阶段:系统资源清除
Phobos通过bcdedit命令行修改系统配置,使用wbadmin删除备份或配置以防止系统恢复,而且Phobos会关闭windows的自动修复功能,隐藏自己对系统的修改。
图4 Phobos删除备份
威努特主机防勒索系统通过预置保护规则,避免勒索病毒对MBR引导区、操作系统账号、系统卷影备份等资源破坏。
图5 防勒索系统的系统防护
03
第三阶段:文件遍历加密
Phobos开始进行进行提权、遍历加密操作,并释放勒索信。
图6 Phobos提权
图7 Phobos遍历加密并发出勒索信
图8 防勒索系统诱捕功能
在加密过程中,Phobos会将后缀名改为evtx和devos,被加密的文件,被加密的文件打开后将会是一堆乱码:
图9 Phobo加密文件类型
图10 加密文后的乱码文档
威努特主机防勒索系统通过建立系统中应用与数据间的访问关系模型,阻断勒索软件对应用数据非法的读写删改,保护系统中文档、数据库、工程文件、音频、图像、视频、配置文件免遭勒索软件恶意加密。
图11 防勒索系统数据保护
一些误操作或者安全策略配置不当可能导致检测、防护能力被绕过,我们还需要备份恢复能力做技术兜底;
图12 防勒索系统按需备份
小结
威努特主机防勒索系统从Phobos最开始的修改系统配置,到备份删除、再到系统遍历,加密,每一步都有应对的措施,所以,在Phobos刚刚进入到系统内部,准备开始一系列的操作的时候,已经有一对锐利的眼睛盯着它,一旦出现可疑操作,立马逮捕并隔离,并且就算让Phobo加密了几个文件,主机防勒索系统同样有数据的实时备份功能,对系统进行兜底,保证系统数据的安全性和完整性。
威努特主机防勒索系统通过对全球主流的勒索病毒分析出的攻击特点,预置保护规则、实时监测和诱饵技术,以及建立访问关系模型等多种防护措施,无论是Phobos还是其他勒索病毒,都能及时识别并采取相应的措施,保护系统数据的安全性和完整性,全面应对勒索病毒的攻击。在当前安全威胁不断增加的背景下,威努特主机防勒索系统为企业和个人提供了可靠的保护,在勒索病毒的确保数据和文件不会被勒索病毒所威胁。
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施安全为己任,致力成为建设网络强国的中坚力量!
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
原文始发于微信公众号(威努特工控安全):Phobos家族勒索病毒全方位防护实例
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论