最近瀏覽
“挖礦”黑手伸向制造業(yè) 浙大網(wǎng)新為企業(yè)定制安全解決方案
2018.07.27
近年來,隨著區(qū)塊鏈的火爆,挖礦病毒已經(jīng)成為不法分子利用最為頻繁的攻擊方式之一。據(jù)調(diào)查,2018上半年惡意挖礦病毒利用率從13%上升到28%,攻擊者向目標(biāo)設(shè)備展開攻擊并植入挖礦程序,來盜取其計(jì)算資源進(jìn)而獲取加密貨幣的案例屢見不鮮,為網(wǎng)絡(luò)安全環(huán)境帶來很大威脅。 近日,就有一家深圳大型制造企業(yè)的運(yùn)維部門向浙大網(wǎng)新求助,該公司的300多臺(tái)作業(yè)機(jī)器感染了名為DeviceConfigManager的蠕蟲病毒,病毒通過可移動(dòng)存儲(chǔ)設(shè)備和網(wǎng)絡(luò)驅(qū)動(dòng)器等方式進(jìn)行傳播傳播。感染后,病毒會(huì)將移動(dòng)設(shè)備、網(wǎng)絡(luò)驅(qū)動(dòng)器內(nèi)的原有文件隱藏起來,并創(chuàng)建一個(gè)與磁盤名稱、圖標(biāo)完全相同的快捷方式,誘導(dǎo)用戶點(diǎn)擊,從而執(zhí)行勒索、挖礦等破壞行為。 接到任務(wù),浙大網(wǎng)新連夜派出網(wǎng)新恒天SEG(系統(tǒng)安全檢測(cè)服務(wù))、白盾(企業(yè)白名單安全產(chǎn)品)、IMS(專業(yè)運(yùn)維)6人團(tuán)隊(duì),對(duì)機(jī)房進(jìn)行病毒查殺。安全工程師們發(fā)現(xiàn)病毒作者十分狡猾,對(duì)蠕蟲病毒及其下載的全部病毒模塊使用了混淆器,很難被檢測(cè)到。同時(shí),其下載的挖礦病毒只會(huì)在用戶電腦空閑時(shí)進(jìn)行挖礦,并且占用CPU資源很低,隱蔽性非常強(qiáng),市面上的安全產(chǎn)品對(duì)該病毒都無可奈何。 團(tuán)隊(duì)意識(shí)到問題的嚴(yán)峻性:客戶方明令要求不能停止生產(chǎn),如果無法同時(shí)全部查殺,一旦有人使用局域網(wǎng),病毒就會(huì)卷土重來,因此查殺的第一步就是控制傳播,并在短時(shí)間內(nèi)對(duì)300臺(tái)機(jī)器同時(shí)查殺。 網(wǎng)新安全團(tuán)隊(duì)連夜討論出2種解決方案: 1、偷天換日:將共享文件夾的可執(zhí)行權(quán)限收回,替換成干凈的同名文件,防止用戶啟動(dòng)病毒。 2、隔離圍剿:將蠕蟲新建的文件夾可執(zhí)行權(quán)限收回,保護(hù)未感染用戶,再對(duì)病毒進(jìn)行逐一排查。 0727 
圖1:網(wǎng)新安全工程師穿著防護(hù)服工作
生產(chǎn)要求無菌環(huán)境,團(tuán)隊(duì)成員均穿著防化服,為工作加大了難度。為不影響生產(chǎn)進(jìn)度,6位工程師在非工作日,對(duì)300多臺(tái)電腦逐一排查、重啟,終于在8個(gè)小時(shí)內(nèi)查殺完畢,同時(shí)對(duì)企業(yè)員工的移動(dòng)存儲(chǔ)設(shè)備使用情況進(jìn)行徹查,避免病毒死灰復(fù)燃。 “后續(xù)我們也安排了一名運(yùn)維人員駐場(chǎng)進(jìn)行收尾工作,也提醒企業(yè)提高安全意識(shí),不要讓機(jī)器‘裸奔’?!本W(wǎng)新恒天SEG負(fù)責(zé)人劉傳興說道。 此項(xiàng)目持續(xù)時(shí)長(zhǎng)3周,浙大網(wǎng)新為客戶方提供包括咨詢、檢測(cè)、查殺、運(yùn)維在內(nèi)的整體解決方案,在保證不影響生產(chǎn)環(huán)境的情況下同時(shí)查殺,以豐富的業(yè)務(wù)經(jīng)驗(yàn)和領(lǐng)先的技術(shù)水平,結(jié)合針對(duì)病毒快速制定解決方案,積極調(diào)動(dòng)公司資源,幫助企業(yè)重新部署安全防火墻,及時(shí)遏制住病毒的進(jìn)一步爆發(fā),提高了企業(yè)基層的生產(chǎn)安全意識(shí)。這也是浙大網(wǎng)新安全團(tuán)隊(duì)與挖礦病毒的首次正面交鋒,未來我們將更多地投入研究針對(duì)此類病毒的安全解決方案,為企業(yè)安全保駕護(hù)航。 關(guān)于白盾 白盾是浙大網(wǎng)新(上海證交所600797)打造的一款計(jì)算機(jī)安全管理軟件,采用創(chuàng)新機(jī)制嚴(yán)格、精準(zhǔn)控制程序的運(yùn)行。區(qū)別于傳統(tǒng)安全和防病毒軟件只能防護(hù)已知風(fēng)險(xiǎn),白盾采用白名單機(jī)制管理可執(zhí)行程序(EXE)、操作系統(tǒng)內(nèi)核模塊(SYS)、以及動(dòng)態(tài)鏈接庫(kù)文件(DLL),所有其余未許可的執(zhí)行動(dòng)作一律攔截。白盾通過對(duì)操作系統(tǒng)執(zhí)行機(jī)制的深入理解和管控,可以保障計(jì)算機(jī)安全運(yùn)行可信程序,杜絕“零日攻擊”的威脅。白名單可智能區(qū)分正常更新與惡意篡改,白名單可自動(dòng)更新,維護(hù)簡(jiǎn)單、安全可靠,是企業(yè)計(jì)算機(jī)安全的保護(hù)盾。
關(guān)于浙江網(wǎng)新恒天軟件有限公司
網(wǎng)新恒天是浙大網(wǎng)新、美國(guó)道富和浙江大學(xué)戰(zhàn)略聯(lián)盟的結(jié)晶,是一家致力于為中外企業(yè)提供可靠的、專業(yè)的IT服務(wù)及產(chǎn)品的軟件公司。恒天軟件提供企業(yè)級(jí)軟件的定制開發(fā)服務(wù),并有覆蓋金融、制造、零售等行業(yè)的IT產(chǎn)品和解決方案。