深度威脅檢測中常見的安全問題
日期:2018-04-20 10:47:05
投稿人:楊錦林
十二屆全國人大內(nèi)務(wù)司法委員會委員鄭功成說:“沒有網(wǎng)絡(luò)安全就沒有國家安全?����!痹谌缃襁@個網(wǎng)絡(luò)時代�,網(wǎng)絡(luò)安全的建設(shè)尤為重要����,關(guān)系到個人���、企業(yè)和國家的信息安全問題。比特豹為了響應(yīng)國家號召�����,推出了網(wǎng)絡(luò)安全檢測服務(wù)����,利用深度威脅發(fā)現(xiàn)設(shè)備為公檢法司做深度的安全檢測�。在經(jīng)過多次實(shí)踐后�����,總結(jié)出以下幾個常見安全問題及解決方案��。
一�、MS17-010漏洞
MS17-010漏洞正是2017年爆發(fā)的永恒之藍(lán)漏洞,該漏洞影響范圍廣�����,基本覆蓋windows所有版本的系統(tǒng)。勒索病毒通過445端口進(jìn)行傳播,攻擊存在該漏洞的主機(jī)��。被攻擊主機(jī)如能連接互聯(lián)網(wǎng),則主機(jī)文件會被遠(yuǎn)程攻擊者加密并勒索比特幣��;如果被攻擊主機(jī)為內(nèi)網(wǎng)設(shè)備,不連接互聯(lián)網(wǎng)����,也有可能經(jīng)常出現(xiàn)藍(lán)屏現(xiàn)象。
(MS17-010監(jiān)測圖)
(永恒之藍(lán)病毒入侵)
防護(hù)措施:
1、利用系統(tǒng)防火墻阻止445端口連接�;
2、安裝Microsoft 發(fā)布的MS17-010漏洞補(bǔ)?���?;
3�����、安裝殺毒軟件或更新殺毒軟件病毒庫進(jìn)行殺毒防護(hù)���。
二�����、MS08-067漏洞
MS08-067漏洞是服務(wù)器服務(wù)中一個秘密報告的漏洞��,影響的系統(tǒng)包括Windows 2000/XP/Server 2003/Vista/Server 2008/7 Beta���。如果用戶在受影響的系統(tǒng)上收到特制的 RPC 請求����,則該漏洞可能允許遠(yuǎn)程執(zhí)行代碼����。 在 Microsoft Windows 2000��、Windows XP 和 Windows Server 2003 系統(tǒng)上�����,攻擊者可能未經(jīng)身份驗(yàn)證即可利用此漏洞運(yùn)行任意代碼�。另外此漏洞可能用于進(jìn)行蠕蟲攻擊��。
(MS08-067監(jiān)測圖)
防護(hù)措施:
1����、安裝Microsoft 發(fā)布的MS08-067漏洞補(bǔ)丁�����;
2����、安裝殺毒軟件或更新殺毒軟件病毒庫查殺MS08-067漏洞病毒�����。
三���、WORM_DOWNAD.AD蠕蟲病毒
WORM_DOWNAD.AD蠕蟲病毒主要是利用MS08-067漏洞傳播和網(wǎng)絡(luò)傳播�����,它會使用暴力破解,當(dāng)破解掉弱密碼的設(shè)備后��,該病毒會在這臺機(jī)器上創(chuàng)建計劃任務(wù)��,同時會將自身拷貝至admin$\System32目錄����。此外���,它還會拷貝自身到所有可用的可移動磁盤和網(wǎng)絡(luò)驅(qū)動器中,并且寫入aoturun.inf以達(dá)到雙擊磁盤就自動運(yùn)行病毒的目的����。
(蠕蟲病毒檢測圖)
防護(hù)措施:
1����、安裝MS08-067補(bǔ)?�?����;
2、管理員帳戶采用復(fù)雜強(qiáng)密碼��;
3、更新殺毒軟件病毒庫并進(jìn)行病毒查殺���;
4�����、對于病毒日志中顯示無法隔離��、無法刪除或者反復(fù)提示隔離成功的病毒文件請嘗試使用閃電殺毒手做清除操作�。
四、宏病毒
宏病毒是一種寄存在Office文檔或模板的宏中的計算機(jī)病毒�����。如果打開感染宏病毒的文檔��,其中的宏就會被執(zhí)行����,于是宏病毒就會被激活��,轉(zhuǎn)移到計算機(jī)上�,并駐留在 Normal 模板上����。從此以后����,所有自動保存的文檔都會“感染”上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔���,宏病毒又會轉(zhuǎn)移到他的計算機(jī)上��。 宏病毒的特點(diǎn)是傳播極快���、制作變種方便�����、破壞性極大。常見的宏病毒有W97M_THUS.A�����、W97M_NSI.A等���。
(宏病毒檢測圖)
防護(hù)措施:
1����、殺毒軟件更新至最新的病毒庫并掃描計算機(jī)殺毒��;
2�����、用正常的NORMAL.DOT文件替換被感染的模板文件。
