疑似借助某知名国产CRM系统的勒索攻击爆发？别怕，AXDR有招！

点击蓝字关注我们

      国内知名技术社区qidao123.com最新消息，国内多个安全技术社群传出今天针对以疑似用友为代表的国产管理软件勒索病毒大爆发。

      据悉，黑客利用暴露在互联网上的某CRM系统发起攻击，利用漏洞执行命令并加密文件，目前这波勒索病毒的爆发已过去2天有余，造成的损失不可估量。

(勒索邮件，推测可能是中文母语者)

(某网友发布自身被勒索的微博)

      传统的勒索病毒研判方式，主要通过：

1

确认主机中招主机现象

2

追踪溯源，尽可能登录多类安全产品，调研

各安全产品告警情况，查找入侵蛛丝马迹

      以人中心，借助多种工具分析研判、工作繁琐，耗时耗力。

      AXDR提供针对勒索病毒的一站式全流程处置解决方案。通过采集核心交换及东西向流量，使得威胁监测无死角。再通过网-终端结合，进行行为分析，发现未知攻击，通过终端调查进行精准溯源，通过沙箱进一步分析研判。

01

根据告警快速定位失陷主机

      通过勒索相关高危告警，快速定位主机IP

02

根据进程溯源链，追踪进程来源

      通过【终端追踪】功能，查看当前进程的完整溯源链，观察到某后缀为.dll的勒索病毒文件在进行各类敏感行为操作，并且发现大规模创建文件行为。

03

通过沙箱进一步分析研判

      AXDR带有沙箱分析功能，只需通过AXDR的终端管理-响应中心-文件管理，该操作会把选定文件直接送至沙箱分析，通过沙箱的动静态行为分析来判定文件的恶意性

（AXDR针对勒索病毒的告警让其无所遁形）

04

对恶意样本进行隔离处置

    【文件隔离】功能对该勒索病毒文件进行隔离，一键对其进行隔离处置。

（AXDR对恶意样本进行一键隔离处置）

防范小贴士

1

夯实基础

●合理规划网络架构、网络隔离

●补丁/漏洞管理，有漏洞及时打补丁

●基线管理，杜绝弱口令，开启防火墙等

●权限最小化管理

2

数据备份

●重要数据及时备份，一旦损坏及时恢复数据副本

3

加强防御

●通过AXDR作为勒索病毒检测、研判、处置中心，配合基础产品如EDR、FW、WAF、IPS；进阶产品如沙箱；安全整体服务如MDR、MSS，构建完善的勒索病毒安全防御体系

4

提高安全意识

●安全意识培训

●警惕陌生邮件链接、附件

●网站挂马不浏览不良信息网站

      AXDR是是基于安恒的威胁检测和数据分析能力，构建的一种跨多个安全层收集并自动关联信息，以实现快速威胁检测和事件响应的解决方案。未来，AXDR将会继续用网端结合的新一代威胁检测能力，抵御勒索病毒的侵袭，持续守护一方安宁。

安恒安全数据部， 下设猎影实验室、零壹实验室、析安实验室和回声实验室，团队以数据分析与技术研究为核心，致力于数据驱动安全创造用户价值。