胡立

國外安全研究人員最近發(fā)現(xiàn)的2個單獨的惡意軟件活動，一個是Ursnif數(shù)據(jù)竊取木馬和Gand Crab勒索病毒軟件組合在野外分發(fā)，而第二個僅用Ursnif惡意軟件對用戶設(shè)備進行感染。這兩個惡意軟件活動似乎都是兩個獨立的網(wǎng)絡(luò)犯罪集團操縱，但發(fā)現(xiàn)其中還有許多相似之處。這兩種攻擊都是通過包含嵌入了惡意宏的Microsoft Word文檔附件，進行網(wǎng)絡(luò)釣魚電子郵件開始，然后使用Powershell提供無文件惡意攻擊。其組合方式可以是：MS Docs + VBS宏= Ursnif和Gand Crab、MSDocs + VBS宏= Ursnif。

通過“越來越多的黑客使用RDP建立網(wǎng)絡(luò)隧道來繞過安全保護措施”又對利用RDP攻擊的，如果GandCrab結(jié)合后，產(chǎn)生的惡劣影響極其深遠。結(jié)合近期卡巴斯基的文章與安全圈信息，最近GandCrab勒索病毒有案例出現(xiàn)。針對結(jié)合RDP與GandCrab合體攻擊情況，結(jié)合“WannaCry”病毒以及常規(guī)的安全防護策略，做了一些簡單的安全防護描述，現(xiàn)提煉如下，供大家參考。

提高口令強度和復雜度，避免弱口令和口令復用；安裝專業(yè)靠譜的殺毒軟件，并開啟主動防御功能（并不是所有的殺毒軟件都可以防范）；

結(jié)合WannaCry病毒，建議關(guān)閉3389，445，139，135等端口，如工作必須開啟這些端口，建議采取白名單策略；

系統(tǒng)保持更新，及時修補操作系統(tǒng)漏洞；

做好數(shù)據(jù)備份，備份是當下應(yīng)對勒索病毒的最有效手段之一；

保存相關(guān)日志，日志的完整保存是分析研判安全事件的原始資料。

提示：在等級保護中，日志審計要保護審計進程，避免受到未預期的中斷，對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋?！毒W(wǎng)絡(luò)安全法》明確規(guī)定，按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月等，所以日志留存無論是網(wǎng)絡(luò)安全等級保護制度還是《網(wǎng)絡(luò)安全法》都對其有要求。合規(guī)性是執(zhí)行網(wǎng)絡(luò)安全的基礎(chǔ)，在合規(guī)性基礎(chǔ)上無論多認真都不為過。網(wǎng)絡(luò)安全界流傳一句話，意思是所有網(wǎng)絡(luò)風險隱患都能導致安全事件，只是時間問題。