我们发现,该数据与火绒2019年统计的企业用户遭遇挖矿病毒攻击结果相同,均占比第一,为何挖矿病毒能成为企业面对的“头号病毒”呢?
具有多样性的传播方式。挖矿病毒可以通过漏洞、弱口令暴破、软件捆绑等众多渠道进行传播。企业员工安全意识良莠不齐,私自下载运行来历不明的软件,或者企业管理员设置的终端与服务器密码较为简单,易被黑客远程暴破等等,这些常见的企业安全隐患随时都有可能导致挖矿病毒成功入侵或被植入企业网络
此外,挖矿病毒除了携带挖矿模块外,还会携带具有横向传播能力的蠕虫模块,可以通过企业终端内的漏洞肆意传播,感染更多的终端。
隐蔽谋利的危害行为。挖矿病毒在运行时,因占用大量系统资源,造成系统卡顿后容易被用户察觉,所以会使用伪装成系统文件、无文件持久化等技术保护自身,即使被用户发现也不会被轻易清除,长时间占用用户的系统资源,挖矿获取利益。
虽然挖矿行为并不会像勒索病毒一样使得业务瘫痪,但会严重影响终端性能,造成电脑卡慢,不仅降低员工办公效率,还会挤占企业服务器运算资源,最终影响整个企业的生产制造。
勤于更新的特点。目前常见的挖矿病毒,多会长期进行更新,比如随时更换挖矿的币种、增加更多的传播方式,通过增加混淆的方式,达到自保的目的。
例如近期“驱动人生”(又名“永恒之蓝下载器”、“DTStealer”)木马就更新了“Lemon Duck”、“Bluetea ”“BlackBall”等多个版本。这也是为何企业内经常出现不同终端内,出现相同挖矿病毒的不同变种情况,让企业网络管理人员难以处理。
企业解决挖矿病毒难题,除了提高员工的整体安全意识之外,还需要结合安全软件进行安全防护。
目前,火绒对流行的挖矿病毒均能扫描查杀,一些具有自保能力的也会有专杀工具进行清除。在防护上,火绒拥有【软件安装拦截】、【网络入侵拦截】等针对上述挖矿病毒主要传播渠道的功能,有效帮助企业避免挖矿病毒的入侵。
此外,我们根据实际情况,筛选出五类企业较为常见的挖矿病毒,披露感染后的部分主要特征与检测方式,以及使用火绒解决的办法,方便企业管理员及时排查处理。
一、DTStealer(又名“永恒之蓝下载器木马”)
1、特点危害
该病毒是目前企业最常见的挖矿病毒之一,自2018年火绒对其进行披露后,至今依旧在更新活跃中。目前已知最新版本为“BlackBall”。
病毒运行后,除了执行挖矿行为,占用终端资源以外,还会窃取终端信息并回传服务器,并利用钓鱼邮件、SMBexec、WMIexec、常见漏洞等方式,在内、外网肆意传播。
2、感染症状
如您的终端出现以下症状,极有可能感染了此病毒。
(1)出现以下名称的任务计划:
Drivers
WebServers
DnsScan
Bluetooths
Credentials
Rtsa
00-00-00-00-00-00或??-??-??-??-??-??(MAC地址)
Bluetea
Blackball
(2)以下位置可能会生成的病毒文件:
C:\Windows\temp\svchost.exe
%AppData%\Microsoft\cred.ps1
%AppData%\flashplayer.tmp
%AppData%\Microsoft\Windows\StartMenu\Programs\Startup\FlashPlayer.lnk
(3)U盘内出现以下文件:
blue3.bin
blue6.bin
(D-K)blue3.lnk
(D-K)blue6.lnk
(4)火绒出现"隐藏执行PowerShell"、“利用PowerShell执行可疑脚本”等系统加固拦截
(5)可能会出现的网址访问拦截:
beahh.com
ackng.com
zer2.com
3、处理方法
目前该病毒的组件模块,火绒均可查杀。但该病毒内网传播方式较多,在部署火绒查杀后,还有被其他已经中毒终端攻击攻击的可能,出现火绒“文件实时监控”的查杀记录。
所以在处理此病毒时,多会选择在企业内统一部署火绒终端,并通过火绒中心下发全盘查杀,在处理中毒终端内的任务计划、病毒文件后,重启即可解决。
二、WannaMine
1、特点危害
该挖矿病毒于2017年底被发现,也是企业内较为常见的挖矿病毒、病毒运行后会扫描企业网络内是否启用了445端口的终端,并通过"永恒之蓝"漏洞在内网横向传播,感染更多终端进行挖矿。
2、感染症状
如果火绒“文件实时监控”拦截查杀以下目录内的“永恒之蓝”传播组件,则有可能感染了此病毒。
C:\Windows\SpeechsTracing\
C:\Windows\NetworkDistribution\
火绒"文件实时监控"查杀此挖矿程序:
C:\Windows\SysWOW64\dllhostex.exe
3、处理方法
对此挖矿,只需要部署火绒进行快速扫描,并重启终端即可,在重启后可选择全盘扫描或自定义扫描,处理C盘内的病毒残留文件。
如企业内有多台终端出现被感染的情况,以上操作可通过火绒中心下发执行。
三、隐匿者(MyKings)
1、特点危害
隐匿者(MyKings)是由多个子僵尸网络构成的多重僵尸网络,除挖矿外,该僵尸网络还包含DDoS、Proxy、RAT等恶意功能。自2017年以来,该僵尸网络至今处于持续更新、传播的状态。
该病毒会感染MBR,在系统引导时进行加载,加载时机多早于正常的软件启动,成功加载后除了执行恶意行为外,还会对自身进行保护。
2、感染症状
终端被感染后,会出现以下特征:
(1)安全软件部署后,无法正常运行
Sql Server日志内,出现大量"sa"账户登陆失败日志。
Sql Server的作业内,出现异常定时作业。
(2)出现以下任务计划
My
Mysa
ok
(3)出现以下文件:
C:\Windows\debug\lsmo.exe
C:\Windows\debug\lsmos.exe
C:\Windows\debug\ok.dat
C:\Windows\System32\ok.exe
C:\Windows\temp\conhost.exe
C:\Windows\System\msinfo.exe
3、处理方法
因MBR被感染,病毒在系统引导时就会进行加载,在已经中毒的情况下部署使用火绒,可能会出现火绒"安全服务异常"的问题。
需使用火绒专杀对MBR进行修复(专杀下载地址:http://bbs.huorong.cn/thread-18575-1-1.html),成功修复并重启后,"火绒安全服务"即可恢复正常,全盘查杀即可。
四、匿影挖矿
1、特点危害
匿影挖矿于2019年2月被发现,该病毒会利用大量网络上的公共资源(例如免费图床)存放病毒模块。在企业内,会利用"永恒之蓝"在内网横向传播,感染更多终端进行挖矿。病毒运行后,会利用驱动阻碍安全软件正常运行,并对自身进行保护。
2、感染症状
终端被感染后,出现以下文件:
C:\Windows\Temp\retboolDriver.sys
C:\Windows\Temp\FlrefoxDriver.sys
C:\ProgramData\dll\*
C:\ProgramData\kuaizipUpdateChecker.dll
C:\ProgramData\MS_17_010_Scan.exe
C:\ProgramData\Microsoft\Chromme.exe
C:\ProgramData\Flrefox.exe
3、处理方法
因该挖矿会利用驱动妨碍安全软件正常运行,需先使用火绒专杀查杀,或进入"网络安全模式"阻止病毒继续运行,使用火绒全盘查杀即可,目前该挖矿病毒的组件火绒均能查杀处理。
五、紫狐
1、特点危害
紫狐病毒最初发现于2018年,多年来一直保持活跃,除了挖矿外,该病毒还有流量暗刷、DDoS、盗号、恶意推广等恶意行为。并会通过软件捆绑、Ghost镜像、永恒之蓝、Sql暴破、服务漏洞等方式进行传播。
2、感染症状
被感染终端,会出现以下文件:
C:\Windows\System32\Ms********App.dll(*为任意字符)
3、处理方法:
该病毒会通过驱动对自身进行保护,需要用专杀进行处理(专杀下载地址:http://bbs.huorong.cn/thread-18575-1-1.html),查杀重启后即可恢复正常。
图片
安全建议
部署火绒企业版,设置定时查杀,及时发现并处理企业内安全问题,防止因处理不当导致的病毒大量传播。
对使用的系统镜像、PE系统、激活工具等进行排查。因为无论是安装系统、使用PE或使用激活工具,多是在部署安全软件前进行使用,如系统或工具内携带病毒,可能无法通过安全软件进行防护。
员工在下载、安装、使用软件时,如安全软件有报毒的情况,不要添加信任继续使用,如要使用报毒后的程序,或对报毒结果有异议,可上传给火绒安全协助您进行分析。
对有安全风险的端口、服务进行限制,如139、445端口(SMB)、3389端口(RDP远程桌面)等企业内多默认开启,但是大多数终端无需使用的服务,可以使用火绒进行限制。。
企业内发现安全问题,但无法确定影响范围和危害时,可联系火绒对您企业内的安全问题进行分析,并帮助您进行处理。
IT解决方案:
移动办公安全解决方案 移动应用安全解决方案
在线业务优化解决方案 在线业务安全解决方案
企业数据安全解决方案 分支组网优化解决方案
业务容灾备份解决方案 互联网安全管控解决方案
新型智慧城市解决方案 政务数据中心建设方案
政务专网建设解决方案 互联网安全优化方案
政务移动安全接入方案
业务全网等级保护三级整改建设案例
业务内网等级保护三级整改建设案例
电子政务专网应用加速及传输优化解决方案
政府信息中心上网行为管理解决方案
企业办公无线解决方案 电子商务网站优化解决方案
企业办公桌面云解决方案 数字校园解决方案
桌面云解决方案 数字图书馆解决方案
业务与支撑系统安全 随势而变的ICT
云资源池安全与优化 广电网络解决方案
网络安全等级保护(等保2.0)解决方案
等保一体机解决方案 云安全解决方案
进程管理
以列表或树型展示系统中全部活跃以及非活跃进程信息,并允许用户对其进行操作(强制结束进程、提取内存字符串等)包括:
进程ID、会话ID、全路径、命令行、当前路径、等基本信息;
进程线程信息;
进程模块信息;
进程打开的句柄列表;
进程相关的网络连接信息;
进程产生的网络流量数据;
以不同颜色区分活跃和非活跃进程;
可以定位进程对应程序文件及查看文件属性;
对活跃进程可以进行结束、挂起、恢复操作;
可以关闭进程打开的句柄;
可以提取进程、模块的内存映像或文件中的全部字符串;
可以搜索系统中全部打开的句柄和加载的模块;
启动项管理
可以扫描系统中的启动项,并可以对扫描到的启动项进行禁用、启动和删除;
支持扫描以下类型启动项:
登录类(Logon)
浏览器类(Explorer)
IE浏览器类(Internet Explorer)
系统服务类(Services)
内核驱动类(Drivers)
解码器类(Codecs)
Winsock提供者类(Winsock Providers)
打印提供者类(Print Monitors)
本地安全认证类(LSA Providers)
网络提供者类(Network Providers)
启动执行类(Boot Execute)
映像劫持类(Image Hijacks)
AppInit类(AppInit)
已知动态库类(KnownDLLs)
Winlogon类(Winlogon)
输入法类(IME)
计划任务类(Scheduled Tasks)
内核诊断信息
内核
内核诊断信息包括以下内核信息:
驱动(设备树)信息(Driver Information)
系统服务表(Service Dispatch Table)
内核通知信息(Kernel Notify)
中断描述符表(Interrupt Table)
高亮提示被修改的内核信息;
钩子扫描
扫描内核态IAT、Inline钩子;
扫描用户态IAT、Inline钩子;
可以对指定进程进行快速扫描;
对扫描到的钩子进行指令分析识别多级跳转类型的钩子;
服务管理
查看操作系统中已注册的服务,并可以对其进行查看文件目录,文件属性,定位注册表,启动停止的控制;
驱动扫描
显示操作系统中已注册的驱动,并可以对其进行查看文件目录,文件属性,定位注册表的操作;
网络监控
显示操作系统中正在进行联网行为的进程,并可以对其进行查看文件,文件属性,结束进程的控制;
文件修改
文件修改 诊断工具文件操作
文件修改 诊断工具文件操作
查看已识别的可用文件驱动器内文件,并可以高权限对其进行强制修改删除等操作; [4]
注册表编辑
查看操作系统内的注册表文件,并可以高权限对其进行强制修改删除等操作;
注册表修改
支持地址栏对目标键值的快速定位;
投标参数:
需求描述:火绒终端安全管理系统技术参数:
1、要求windows客户端防护具有系统加固功能,阻止某些流氓、广告程序对电脑系统的恶意篡改等行为,提供一套全方位的加固方案,保护电脑系统各个安全关键点。其中默认开启文件防护10项或以上、注册表保护25项或以上、危险动作拦截2项或以上、执行防护14项或以上、进程防护2项或以上、病毒免疫5项或以上。
2、为保证产品与微软系统的兼容性,要求该品牌所具备的反病毒、主动防御、防火墙“三合一”,取得与微软的合作关系证明。
3、为保障用户隐私安全,本次投标产品在查杀防御的同时,产生的日志记录仅存储在用户本地,不回传任何数据给投标厂家。
4、要求windows客户端防护同时具备桌面右下角广告弹窗拦截具有桌面右下角广告弹窗拦截和软件安装拦截功能,安装软件的时候帮助用户识别软件是否是推广软件,用户可以自由选择是否需要继续安装;当有发现有推广软件正在安装时,会弹窗提示,
用户可以根据需要选择是否安装此软件。
5、要求具有远程登录防护,远程登录防护功能可以有效阻止未信任的远程登录(基于RDP协议)。远程登录防护功能默认不开启;当功能开启后,未信任IP(段)的设备(包括但不限于:PC、平板、手机等)远程登录终端后,远程桌面服务将被强制结束,弹出会话已结束提示框,可有效阻止勒索病毒的入口之一;
6、要求具有设备控制功能,可管控U盘、便携设备、U无线网卡、U有限网卡、打印机、光驱、蓝牙设备;
7、制造厂商的反病毒引擎输出过给国内其它非关联单位的安全厂家3家或以上。须提供原厂盖章合作申明;
8、考虎到我方部分电脑配置很低,业务系统众多与稳定运行的重要性,要求投标产品的客户端安装后最多占用30M硬盘空间,最多5M的病毒库大小,日常内存占用不到10M,有效节省电脑资源。实现对终端资源占用影响小,让位于业务系统,而查杀率高。(需提供原厂出具的盖章材料证明)
产地:北京;网络支持:网络版;功能描述:火绒终端安全管理系统V1.0拥有高效的终端管理、防御功能,能够通过“控制中心”向终端派发安全策略、规范外接设备使用、提供远程桌面服务、进行异地终端管理等,拥有直接拦截漏洞攻击的“网络入侵拦截”等强大功能,将企业网络纳入严密的防控之中,确保安全无死角,充分满足政府&企业用户在目前互联网威胁环境下的电脑终端防护需求。;授权方式:电子邮件发送授权序列号,互联网下载软件产品;版本号:火绒终端安全管理系统V1.0(Windows版);使用期限:1年;售后服务:(1)升级服务 在服务期内,火绒公司将免费为使用火绒公司产品提供病毒库和产品功能的升级,升级方式分为两种模式: ①智能升级:火绒产品通过产品内的智能升级功能直接链接到火绒公司产品升级服务器,实现产品病毒库和功能的升级。 ②手动升级包下载:用户在获得火绒“产品授权书”后,可以通过ID号从火绒网站产品升级页面下载手动升级包进行病毒库和产品功能的升级。 (2)咨询服务 ①服务内容 a)对用户(即甲方,下同)在产品使用中出现的问题进行电话支持并提供解决方案; b)对用户在服务期内出现的病毒问题进行电话支持并提供解决方案; c)对用户早期没有确认解决的问题进行跟踪回访; d)不定期电话回访用户,了解用户使用情况和需求; e)技术资料下载; f)病毒样本提取和处理 ②服务方式 电话咨询服务:400-998-3555互联网支持:邮件、BBS在线支持、网站信息服务 注:用户登录火绒公司网址:https://www.huorong.cn/登录相应入口即可获取相应互联网支持服务。 ③服务标准 a)电话服务时间为:7×8 b)互联网支持时间:7×8;
块体系★包含火绒安装终端管理后台以及全模块功能(反病毒引擎、多层次主动防御系统、病毒防御、系统防御、网络防御、设备控制等)。
体系架构:要求采用B/S架构,由控制中心、系统中心、客户端三个模块组成防病毒体系,管理员通过浏览器登录控制中心,即可对系统进行管理。
要求控制中心和客户端均支持Windows 7、Windows 8、Windows 10、Windows Server 2003、Windows
Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019。
要求客户端支持CentOS、Ubuntu、SUSE、Deepin等主流Linux发行操作系统,需要GNU libc 2.12及以上版本
安装部署:★要求内置控制中心配置工具,
可对控制中心参数进行修改和相应配置。
★要求客户端部署支持本地部署、网页访问部署、域推送安装方式,能远程对终端推送安装应用软件。
★要求提供安装服务,所有终端及服务器的完整安装。
★要求客户端安装后占用30M硬盘空间,病毒库大小不超过5M,日常内存占用不到10M,有效节省电脑资源。
控制中心平台管理:要求控制中心支持直观的展示终端信息、病毒趋势统计、病毒类型排行、病毒排行、终端危险排行等全网统计情况。并随时对网络中威胁发生的情况进行查询,能组合时间、IP、机器名、病毒名称、病毒类型等信息全方位定位、展示。
要求能够对客户端进行统一管理,统一下达指令。
要求支持对终端进行分组及批量分组,支持分组导入、导出。要求支持对终端进行单/多标签标记,进行部分操作,方便管理。
要求支持客户端主动升级及平台即时/定时推送升级;平台支持客户端升级包上传及配置http(s)/ftp远端同步方式,更新客户端升级包,可以根据不同网络环境提供在线获取和隔离网获取相应工具。
要求支持单/多客户端不同管理中心迁移。
★要求定制策略包括病毒防御(文件实时监控、恶意行为监控、U盘保护、下载保护、邮件监控)、系统防御(系统加固、软件安装拦截、浏览器保护)、网络防御(黑客入侵拦截、对外攻击检测、恶意网站拦截、IP协议控制、IP黑名单)等,可以根据部门需求定制不同的策略。
防病毒漏扫:要求支持漏洞集中修复、统一修复高危漏洞、统一修复所有漏洞,并展示以做补丁和未做补丁的信息。要求支持配置补丁从控制中心下载/从外网下载两种方式
要求支持服务器带宽设置,可限制最大并发数以及单个终端最大下载速度,可避免带宽超过最大负荷。
要求具有反病毒底层技术,反病毒引擎为本地反病毒引擎,不依赖云(联网时的病毒查杀能力与断网时的病毒查杀能力一致)。具有轻量级的病毒库,却有较强的病毒查杀能力。
★要求反病毒引擎具有虚拟沙盒技术,能对待扫描的PE样本应用通用脱壳和动态行为扫描技术,用较少的记录,长期、有效地检出家族性样本。要求虚拟沙盒接近真实 CPU 的执行效率和高还原度的操作系统环境仿真且具有很强的抗干扰能力。
★要求具有系统加固功能,阻止某些流氓、广告程序对电脑系统的恶意篡改等行为,提供一套全方位的加固方案,保护电脑系统各个安全关键点。其中默认开启文件防护10项、注册表保护27项、危险动作拦截2项、执行防护14项、进程防护2项、病毒免疫6项。
防火墙★要求具有黑客入侵拦截功能,检测通过网络传输的数据包中是否包含敏感入侵信息,从而一定程度上避免电脑遭到黑客入侵。直接从网络层防御Wanncry、MS 08-067等漏洞攻击
★要求具有IP协议控制,当需要控制网络访问的具体动作,通过在IP协议层控制数据包进站、出站行为,并且针对这些行为做规则化的控制。
桌面管控★要求具有设备控制功能,可管控U盘、便携设备、USB无线网卡、USB有限网卡、打印机、光驱、蓝牙设备
服务区域:
四川火绒 成都火绒 西藏火绒 重庆火绒贵州火绒 贵阳火绒 云南火绒 昆明火绒
四川synology: 德阳火绒 绵阳火绒,攀枝花火绒,西昌火绒,雅安火绒,内江火绒,资阳火绒,南充火绒,眉山火绒,乐山火绒,自贡火绒 泸州火绒 广元火绒 遂宁火绒 宜宾火绒 广安火绒 达州火绒 雅安火绒 巴中火绒 资阳火绒 攀枝花火绒 凉山彝族自治州火绒 甘孜藏族自治州火绒 阿坝藏族羌族自治州火绒
贵州火绒:贵阳火绒 、六盘水火绒、遵义火绒、安顺火绒、铜仁火绒、毕节火绒。 黔南火绒 、黔西南火绒、贵州黔东南火绒
重庆火绒 合川火绒 南川火绒
潼南火绒 铜梁火绒 长寿火绒 璧山火绒 荣昌火绒 綦江火绒 大足火绒 武隆火绒 垫江火绒 奉节火绒
丰都火绒 城口火绒 巫溪火绒 云阳火绒 酉阳火绒 巫山火绒 梁平火绒 彭水火绒 秀山火绒 石柱火绒 开县火绒
昆明火绒、曲靖火绒、玉溪火绒、 保山火绒 、昭通火绒 、丽江火绒 、普洱火绒、 临沧火绒。
文山壮族苗族自治州(文山火绒) 、红河哈尼族彝族自治州(红河火绒) 、西双版纳傣族自治州、(西双版纳火绒) 楚雄彝族自治州(楚雄火绒)、 大理白族自治州(大理火绒)、 德宏傣族景颇族自治州(德宏火绒)、 怒江傈僳族自治州(怒江火绒)、 迪庆藏族自治州(迪庆火绒)
四川 成都 火绒 代理:
北京火绒网络科技有限公司,火绒成都渠道代理商有哪些;火绒渠道代理商有哪些;火绒nat代理上网;火绒代理商资质查询;火绒总代怎么样;火绒的渠道有哪些;火绒金牌代理;火绒成都金牌经销商;火绒四川金牌经销商;火绒金牌代理商;火绒金牌 成都火绒科技有限公司
火绒科技成都分公司 火绒成都区主管是谁 火绒成都
火绒成都办事处 火绒成都网络安全
火绒成都代理商有哪些 火绒成都防火墙
火绒产品线:
火绒终端安全管理系统(200用户/3年正版授权)
火绒终端安全管理系统采购项目
火绒企业安全软件,火绒终端安全管理系统V1.0版(windows)项目,火绒安全,
火绒终端安全管理系统V1.0(Windows版),火绒终端安全管理系统软件服务,火绒终端安全管理系统,火绒安全软件企业版终端授权扩容,火绒安全节点授权,火绒终端安全管理系统Linux版,火绒终端安全管理系统windows版,火绒安全管理软件200用户
邮箱:seclab@huorong.cn,火绒企业版
火绒企业版卸载要密码,火绒,火绒安全、EDR V1.0,
友商:
金山终端安全系统V9.0
成都科汇科技有限公司 — 专业企业级安全、云计算与IT基础架构服务商
无论您是解决企业级安全、云计算,还是IT基础架构,都可以使您的IT更简单、更安全、更有价值
