对特定企业的针对性勒索与部分杀软的测试

huangzihang

anthonyqian 发表于 2022-8-14 11:50
这不没防住嘛………

IPS是墙啊，一般勒索的攻击方式并不是钓鱼让你双击，而是入侵，比如永恒之蓝。

00006666

huangzihang 发表于 2022-8-14 18:39
IPS是墙啊，一般勒索的攻击方式并不是钓鱼让你双击，而是入侵，比如永恒之蓝。

比较常见的攻击方式有远程桌面爆破，然后投放勒索病毒

huangzihang

00006666 发表于 2022-8-14 18:47
比较常见的攻击方式有远程桌面爆破，然后投放勒索病毒

最近刚好在实习，公司用的有SEP，Intel系统防御，还有一个自研的，网站和系统权限锁得很死，防火墙权限很严，系统关键位置和注册表不让编辑，这些安全措施颠覆了我对企业网安的看法，我之前以为就是拿个企业版杀软挂着，现在看来防御主力根本就不在单个端点运行的SEP，而是公司运行的NAS，系统的hips，和交换机硬件端的防火墙

anthonyqian

huangzihang 发表于 2022-8-14 18:39
IPS是墙啊，一般勒索的攻击方式并不是钓鱼让你双击，而是入侵，比如永恒之蓝。

To promote their service, the threat actors partnered with adware loaders and fake crack sites to distribute malware that would create README.txt files on a device.

(https://www.bleepingcomputer.com ... he-ransomware-game/)

楼主这个样本具体怎么传播的不清楚，但基本上Industrial Spy勒索顾名思义，在运行后不但会加密数据，还会窃取机密数据的，如果SEP的IPS没有警报的话，也算拦截失败了。

00006666

huangzihang 发表于 2022-8-14 18:51
最近刚好在实习，公司用的有SEP，Intel系统防御，还有一个自研的，网站和系统权限锁得很死，防火墙权限很 ...

几年前等保2.0，就有态势感知之类的要求了，企业安全没这么简单

tomochan

火绒居然防住了
智量的主防防勒索从来没让我失望过

boyving

卡巴一如既往不负所望。不错。。。

geming3000

想学习一下，智量那个，怎么判断是主防杀的，而不是特征库杀的？

anxiety520

geming3000 发表于 2022-9-4 19:38
想学习一下，智量那个，怎么判断是主防杀的，而不是特征库杀的？

带WIBD前缀的就是主防报的毒