记一次火绒帮助企业用户分析日志:仅一个月遭遇近万次漏洞攻击
企业网络环境错综复杂,包括终端管理混乱,对U盘、外设、共享文件夹等公用资源缺乏防护,员工安全意识良莠不齐等,都容易导致病毒能够轻易入侵终端和服务器。部分企业在安装安全软件发现并解决当前安全威胁后,未能引起重视,进行全面排查等措施,或导致后续依旧有被攻击的风险。
实际上,当企业中安全软件成功拦截漏洞攻击、查杀出病毒时,也往往意味着企业内部存在安全隐患,或正在遭遇外部攻击。需要管理人员根据安全软件的查杀、拦截日志,对全网做一次全面的检测,解决威胁源头问题。如果有必要,可以联系安全厂商进行协助调查,并根据企业需求设置常规安全措施,进一步降低企业安全风险。
就在近期,火绒收到某企业用户的求助,要求对其终端部署的火绒企业版安全日志进行一次较为全面的分析。通过日志查看发现,仅在一个月内,火绒便拦截了数千次的病毒、漏洞等攻击。随后,火绒工程师提供了应急的解决方案和长期的安全加固建议,解决当前安全事件和后续安全防护的问题。
根据该企业提供的火绒企业版关于“病毒防御”、“网络入侵拦截”、“恶意网址拦截”以及“软件安装拦截”四类功能的日志,工程师发现如下安全隐患:
一、内网病毒类型多、数量多根据火绒日志显示,火绒一个月内对该企业的27台终端拦截1821次恶意病毒攻击。病毒类型包括感染型、宏病毒、勒索病毒、流氓广告、蠕虫、挖矿等数十种。
病毒拦截日志
其中,企业常见的感染型、宏病毒等均在其中,这类病毒会感染可执行程序和Office文档,火绒除了对其进行拦截查杀以外,不会损坏文件。
二、网络入侵/漏洞攻击频繁在漏洞入侵拦截上,火绒检测该企业终端共遭受9245次永恒之蓝漏洞攻击,通过火绒“网络入侵拦截”功能,溯源攻击源头为该企业其中的11台终端。如果不及时溯源到这些带有漏洞的终端,并及时修复漏洞,那么企业内的漏洞攻击也将是持续不断的。
漏洞攻击拦截日志
三、流氓软件疯狂推广员工安全意识薄弱,容易陷入流氓软件的套路。比如在某下载站下载软件后,会被捆绑、静默安装其它软件,其目的是为了广告推广、访问恶意网址(见下文),甚至还有投放后门等病毒的风险。
火绒企业版检测到的软件安全行为
火绒会及时检测软件的安装行为
四、恶意网址访问不断同样在一个月中,火绒日志显示了拦截该企业7个终端对5个恶意网址进行过6566次访问。其中有不少恶意网址均来源于小黑记事本、快压、万能输入法等通过捆绑安装进入的流氓软件,这些软件均被火绒报告披露过。
针对上述安全现状,火绒工程师为该企业提供一份紧急响应措施:
1、立即对全网全盘进行扫描查杀。2、对被攻击的IP地址列表中的主机进行网络隔离,并查杀病毒。3、及时修复终端及服务器上的漏洞。4、增强终端及服务器登录口令,建议包含大小写、特殊字符等,开启火绒“终端动态认证”、“远程登录防护”等功能,可有效防止密码泄漏、弱口令暴破等风险。
不仅如此,为了避免持续面临安全风险,火绒工程师还建议包括该企业在内的广大企业用户,做好长期安全加固的准备:
1、部署安全软件,定期对全网全盘进行查杀,发现可疑现象可及时联系专业人员分析处理。2、加强内部员工安全意识,做到不随意安装其它软件、不点击陌生链接和邮件等。3、尽量关闭3389等端口。如有需求,可使用火绒“远程桌面”等安全工具代替使用。4、对U盘等移动外设要先查杀后使用。5、对重要数据进行多重备份。
实际上,当企业中安全软件成功拦截漏洞攻击、查杀出病毒时,也往往意味着企业内部存在安全隐患,或正在遭遇外部攻击。需要管理人员根据安全软件的查杀、拦截日志,对全网做一次全面的检测,解决威胁源头问题。如果有必要,可以联系安全厂商进行协助调查,并根据企业需求设置常规安全措施,进一步降低企业安全风险。
就在近期,火绒收到某企业用户的求助,要求对其终端部署的火绒企业版安全日志进行一次较为全面的分析。通过日志查看发现,仅在一个月内,火绒便拦截了数千次的病毒、漏洞等攻击。随后,火绒工程师提供了应急的解决方案和长期的安全加固建议,解决当前安全事件和后续安全防护的问题。
根据该企业提供的火绒企业版关于“病毒防御”、“网络入侵拦截”、“恶意网址拦截”以及“软件安装拦截”四类功能的日志,工程师发现如下安全隐患:
一、内网病毒类型多、数量多根据火绒日志显示,火绒一个月内对该企业的27台终端拦截1821次恶意病毒攻击。病毒类型包括感染型、宏病毒、勒索病毒、流氓广告、蠕虫、挖矿等数十种。
病毒拦截日志
其中,企业常见的感染型、宏病毒等均在其中,这类病毒会感染可执行程序和Office文档,火绒除了对其进行拦截查杀以外,不会损坏文件。
二、网络入侵/漏洞攻击频繁在漏洞入侵拦截上,火绒检测该企业终端共遭受9245次永恒之蓝漏洞攻击,通过火绒“网络入侵拦截”功能,溯源攻击源头为该企业其中的11台终端。如果不及时溯源到这些带有漏洞的终端,并及时修复漏洞,那么企业内的漏洞攻击也将是持续不断的。
漏洞攻击拦截日志
三、流氓软件疯狂推广员工安全意识薄弱,容易陷入流氓软件的套路。比如在某下载站下载软件后,会被捆绑、静默安装其它软件,其目的是为了广告推广、访问恶意网址(见下文),甚至还有投放后门等病毒的风险。
火绒企业版检测到的软件安全行为
火绒会及时检测软件的安装行为
四、恶意网址访问不断同样在一个月中,火绒日志显示了拦截该企业7个终端对5个恶意网址进行过6566次访问。其中有不少恶意网址均来源于小黑记事本、快压、万能输入法等通过捆绑安装进入的流氓软件,这些软件均被火绒报告披露过。
针对上述安全现状,火绒工程师为该企业提供一份紧急响应措施:
1、立即对全网全盘进行扫描查杀。2、对被攻击的IP地址列表中的主机进行网络隔离,并查杀病毒。3、及时修复终端及服务器上的漏洞。4、增强终端及服务器登录口令,建议包含大小写、特殊字符等,开启火绒“终端动态认证”、“远程登录防护”等功能,可有效防止密码泄漏、弱口令暴破等风险。
不仅如此,为了避免持续面临安全风险,火绒工程师还建议包括该企业在内的广大企业用户,做好长期安全加固的准备:
1、部署安全软件,定期对全网全盘进行查杀,发现可疑现象可及时联系专业人员分析处理。2、加强内部员工安全意识,做到不随意安装其它软件、不点击陌生链接和邮件等。3、尽量关闭3389等端口。如有需求,可使用火绒“远程桌面”等安全工具代替使用。4、对U盘等移动外设要先查杀后使用。5、对重要数据进行多重备份。