星河云企业安全管家助力常州某电机企业提升安全防护能力
案例企业:常州某电机企业
企业简介:该公司主要从事微特电机、风机及智能化组件的研发和生产。自成立以来,公司便以电机技术为核心,成为了国内微特电机行业的领先企业,连续14年入选中国电子元件行业协会评选的中国电子元件百强企业。
企业困扰:公司内部多台设备多次出现Andromeda僵尸网络告警,但使用自有的EDR产品未能检测和查杀出问题。
安全隐患:僵尸网络是指通过一种或多种传播手段,致使大量主机感染僵尸程序,从而形成的一个可一对多控制的网络。作为目前互联网上黑客最青睐的作案工具之一,不论是对网络安全运行还是用户数据安全,僵尸网络都是极具威胁的隐患。
01 企业安全管家护航企业安全
星河云企业安全管家:为接入企业提供一对一安全运营专家,通过资产管理、威胁监测、攻击链溯源分析、日志统一审计等高价值功能,7*24小时把脉企业网络“健康”状态,并提供处置建议及远程排查服务。
自22年初部署星河云企业安全管家以来,企业安全管家已多次帮助该企业发现重大安全事件,持续护航企业网络安全。近期,在运营专家日常巡检过程中发现公司多台主机出现了僵尸网络告警。
发现该告警事件后,运营专家第一时间与客户反馈了该告警情况,并对接安全专家,进行远程告警排查。
通过告警显示的网络行为和次数,安全专家对相关设备的网络连接、自启项、进程进行分析研判,发现C:\ProgramData\Local Settings\Temp\或C:\USER\***\Local Settings\Temp\目录下存在cc开头的恶意隐藏程序;注册表自启项路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run或HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows下存在恶意程序自启动项;进程中存在由恶意程序启动的单个svchost进程对恶意域名尝试访问。
安全专家发现设备与僵尸网络恶意域名存在通联行为,第一时间协助用户进行远程上机排查,初步查看网络及关联连接信息,未发现相关进程,进一步通过使用中新赛克自研EDR进行排查解决。
僵尸网络病毒程序深度隐藏,不易找出,对敏感目录c:\programdata进行文件扫描时,找到病毒释放的子文件,相关病毒信息win_trojan_andromeda_e3e424,与告警信息相符。
中新赛克安全专家通过对相关设备进行恶意程序删除、注册表删除及结束进程,成功处理了该告警事件,避免企业蒙受不必要损失。
02 构建防御之网,预防病毒攻击
通过本次告警事件,中新赛克安全专家总结相关解决经验,对该企业后续网络安全管理,提出以下改进建议:
(1)此次僵尸网络病毒多以cc开头命名,存在于C:\ProgramData\LocalSettings\Temp\
或C:\USER\***\Local Settings\Temp\目录下,且文件隐藏。建议删除该文件及相关路径。
(2)清除自启注册表项目,该病毒常见于HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\Explorer\Run和HKEY_CURRENT_USER\Software\Microsoft\
WindowsNT\CurrentVersion\Windows。
(3)该病毒使用svchost进行网络通联,启动的父进程会自我关闭,查看是否存在单个svchost进程,或与恶意程序相关联的svchost,关闭进程树。
(4)对恶意ip和恶意域名c0bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4E0L8Y4y4J5k6h3W2#2L8$3A6&6i4K6u0W2M7Y4f1`.、427K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2G2M7Y4m8Z5k6h3c8Q4x3X3g2J5N6b7`.`.进行封禁处理,禁止访问。
(5)由于僵尸网络容易隐藏和传播,请定时检测网络通联行为,关注是否会重新生成此类恶意文件。
(6)Win7系统已停止更新维护,安全防护能力不足,建议升级为仍在更新维护的系统。
(7)安装杀软,定期杀毒。不安装陌生程序,不点击陌生链接。
中新赛克自研EDR产品简介:基于各个端点数据的关联分析能力,可提供全面的检测和响应功能。
在攻击事件发生的几秒钟内,EDR将自动收集相关检测节点信息(网络连接、文件、进程等),通过上下文关联分析,结合IOC与IOA相关情报,生成攻击事件数据告警,以供安全分析师调查。
此外,除了传统杀毒软件会进行的查杀行为之外,EDR还可以对发现的威胁采取一定的措施——利用微隔离技术将威胁控制在受攻击端点可控范围内。
扫描二维码,升级公司网络安全防护能力