昨天的文章被和谐了,虽然作者运用了很多旁敲侧击的词汇,毕竟药下得有点猛,被和谐完全没有出乎作者意料。从昨天下午陆陆续续看到很多网络安全厂家开始主动地直面面对勒索病毒,提升了应对勒索事件的积极度,也不枉作者舍身取义这一把。
这里有个建议,可斟酌:
鉴于应急响应速度的提升,企业侧网络安全相关人员能够从常规的安全运维走向专业性较强的网路安全事件响应运营,建议推进yara规则应用接口,将企业级终端侧安全软件、网络侧监测、阻控、防毒设备应用yara规则或类yara规则,一是该规则共享渠道较丰富,公布者的意愿也是为提升应急响应速度;二是可以通过时间积累,要企业自身具备一定的专业性能力,提升事件处置速度;三是可以减轻大规模恶意文件突发事件时对原产品厂商售后服务人员不足所导致的处置不及时的问题;四是可规避技术专业性瓶颈通过行政手段下发强制响应。
另:笔者这边有四万余条勒索软件的hash,持友好共享保持创新的态度,高校相关专业人员可使用证实身份的相关邮件进行索取,自找渠道获取样本进行防护研究,数据自日起保留三个月。
邮件地址
[email protected]笔者近一周通过对勒索软件的通用特性进行研究,总结了些通用的检测方法,实际测试有部分效果,目前单个方法能支持37个家族部分样本做通用检测,还待加强,由于易失性,这里就不公开了。
最后附上昨天丢失的规则
rule RansomWare_Agenda_Win{meta:description = "Agenda group"author = "virk"thread_level = 10in_the_wild = truestrings:$a = {EB 05 EB 00 89 04 24}$b = {0F B6 0E 03 04 8D 54 1A 46 00 FF E0 46 BB 01 00 00 00 E9 ?? ?? 00 00 46 B8 03 00 00 00 EB 0E 46 B8 04 00 00 00 EB 06}condition:(uint16(0) == 0x5A4D) and (uint32(uint32(0x3C)) == 0x00004550) and $a and $b}rule RansomWare_Rhysida_Win{meta:description = "Rhysida group"author = "virk"thread_level = 10in_the_wild = truestrings:$a = {48 83 FF 01 74 ?? 48 83 FF 02 74 ?? 48 83 FF 03 74 ?? 48 83 FF 04 74 ?? 48 83 FF 05 74 ?? 48 83 FF 06 74}$b = {41 72 69 61 6C 2E 74 74 66}$c = {66 41 3B C7 74 1A 66 41 3B C4 74 14 66 41 3B C5 74 0E 66 83 F8 01 74 08}$d = {83 E0 07 48 03 C1}condition:(uint16(0) == 0x5A4D) and (uint32(uint32(0x3C)) == 0x00004550) and (($a and $b) or ($c and $d))}
原文始发于微信公众号(锐眼安全实验室):应对勒索病毒,这里有一个建议
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论