最近瀏覽
“挖礦”黑手伸向制造業 浙大網新為企業定制安全解決方案
2018.07.27
近年來,隨著區塊鏈的火爆,挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。據調查,2018上半年惡意挖礦病毒利用率從13%上升到28%,攻擊者向目標設備展開攻擊并植入挖礦程序,來盜取其計算資源進而獲取加密貨幣的案例屢見不鮮,為網絡安全環境帶來很大威脅。 近日,就有一家深圳大型制造企業的運維部門向浙大網新求助,該公司的300多臺作業機器感染了名為DeviceConfigManager的蠕蟲病毒,病毒通過可移動存儲設備和網絡驅動器等方式進行傳播傳播。感染后,病毒會將移動設備、網絡驅動器內的原有文件隱藏起來,并創建一個與磁盤名稱、圖標完全相同的快捷方式,誘導用戶點擊,從而執行勒索、挖礦等破壞行為。 接到任務,浙大網新連夜派出網新恒天SEG(系統安全檢測服務)、白盾(企業白名單安全產品)、IMS(專業運維)6人團隊,對機房進行病毒查殺。安全工程師們發現病毒作者十分狡猾,對蠕蟲病毒及其下載的全部病毒模塊使用了混淆器,很難被檢測到。同時,其下載的挖礦病毒只會在用戶電腦空閑時進行挖礦,并且占用CPU資源很低,隱蔽性非常強,市面上的安全產品對該病毒都無可奈何。 團隊意識到問題的嚴峻性:客戶方明令要求不能停止生產,如果無法同時全部查殺,一旦有人使用局域網,病毒就會卷土重來,因此查殺的第一步就是控制傳播,并在短時間內對300臺機器同時查殺。 網新安全團隊連夜討論出2種解決方案: 1、偷天換日:將共享文件夾的可執行權限收回,替換成干凈的同名文件,防止用戶啟動病毒。 2、隔離圍剿:將蠕蟲新建的文件夾可執行權限收回,保護未感染用戶,再對病毒進行逐一排查。 0727 
圖1:網新安全工程師穿著防護服工作
生產要求無菌環境,團隊成員均穿著防化服,為工作加大了難度。為不影響生產進度,6位工程師在非工作日,對300多臺電腦逐一排查、重啟,終于在8個小時內查殺完畢,同時對企業員工的移動存儲設備使用情況進行徹查,避免病毒死灰復燃。 “后續我們也安排了一名運維人員駐場進行收尾工作,也提醒企業提高安全意識,不要讓機器‘裸奔’?!本W新恒天SEG負責人劉傳興說道。 此項目持續時長3周,浙大網新為客戶方提供包括咨詢、檢測、查殺、運維在內的整體解決方案,在保證不影響生產環境的情況下同時查殺,以豐富的業務經驗和領先的技術水平,結合針對病毒快速制定解決方案,積極調動公司資源,幫助企業重新部署安全防火墻,及時遏制住病毒的進一步爆發,提高了企業基層的生產安全意識。這也是浙大網新安全團隊與挖礦病毒的首次正面交鋒,未來我們將更多地投入研究針對此類病毒的安全解決方案,為企業安全保駕護航。 關于白盾 白盾是浙大網新(上海證交所600797)打造的一款計算機安全管理軟件,采用創新機制嚴格、精準控制程序的運行。區別于傳統安全和防病毒軟件只能防護已知風險,白盾采用白名單機制管理可執行程序(EXE)、操作系統內核模塊(SYS)、以及動態鏈接庫文件(DLL),所有其余未許可的執行動作一律攔截。白盾通過對操作系統執行機制的深入理解和管控,可以保障計算機安全運行可信程序,杜絕“零日攻擊”的威脅。白名單可智能區分正常更新與惡意篡改,白名單可自動更新,維護簡單、安全可靠,是企業計算機安全的保護盾。
關于浙江網新恒天軟件有限公司
網新恒天是浙大網新、美國道富和浙江大學戰略聯盟的結晶,是一家致力于為中外企業提供可靠的、專業的IT服務及產品的軟件公司。恒天軟件提供企業級軟件的定制開發服務,并有覆蓋金融、制造、零售等行業的IT產品和解決方案。