“挖矿”黑手伸向制造业 浙大网新为企业定制安全解决方案
2018.07.27
近年来,随着区块链的火爆,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。据调查,2018上半年恶意挖矿病毒利用率从13%上升到28%,攻击者向目标设备展开攻击并植入挖矿程序,来盗取其计算资源进而获取加密货币的案例屡见不鲜,为网络安全环境带来很大威胁。 近日,就有一家深圳大型制造企业的运维部门向浙大网新求助,该公司的300多台作业机器感染了名为DeviceConfigManager的蠕虫病毒,病毒通过可移动存储设备和网络驱动器等方式进行传播传播。感染后,病毒会将移动设备、网络驱动器内的原有文件隐藏起来,并创建一个与磁盘名称、图标完全相同的快捷方式,诱导用户点击,从而执行勒索、挖矿等破坏行为。 接到任务,浙大网新连夜派出网新恒天SEG(系统安全检测服务)、白盾(企业白名单安全产品)、IMS(专业运维)6人团队,对机房进行病毒查杀。安全工程师们发现病毒作者十分狡猾,对蠕虫病毒及其下载的全部病毒模块使用了混淆器,很难被检测到。同时,其下载的挖矿病毒只会在用户电脑空闲时进行挖矿,并且占用CPU资源很低,隐蔽性非常强,市面上的安全产品对该病毒都无可奈何。 团队意识到问题的严峻性:客户方明令要求不能停止生产,如果无法同时全部查杀,一旦有人使用局域网,病毒就会卷土重来,因此查杀的第一步就是控制传播,并在短时间内对300台机器同时查杀。 网新安全团队连夜讨论出2种解决方案: 1、偷天换日:将共享文件夹的可执行权限收回,替换成干净的同名文件,防止用户启动病毒。 2、隔离围剿:将蠕虫新建的文件夹可执行权限收回,保护未感染用户,再对病毒进行逐一排查。 0727
图1:网新安全工程师穿着防护服工作
生产要求无菌环境,团队成员均穿着防化服,为工作加大了难度。为不影响生产进度,6位工程师在非工作日,对300多台电脑逐一排查、重启,终于在8个小时内查杀完毕,同时对企业员工的移动存储设备使用情况进行彻查,避免病毒死灰复燃。 “后续我们也安排了一名运维人员驻场进行收尾工作,也提醒企业提高安全意识,不要让机器‘裸奔’。”网新恒天SEG负责人刘传兴说道。 此项目持续时长3周,浙大网新为客户方提供包括咨询、检测、查杀、运维在内的整体解决方案,在保证不影响生产环境的情况下同时查杀,以丰富的业务经验和领先的技术水平,结合针对病毒快速制定解决方案,积极调动公司资源,帮助企业重新部署安全防火墙,及时遏制住病毒的进一步爆发,提高了企业基层的生产安全意识。这也是浙大网新安全团队与挖矿病毒的首次正面交锋,未来我们将更多地投入研究针对此类病毒的安全解决方案,为企业安全保驾护航。 关于白盾 白盾是浙大网新(上海证交所600797)打造的一款计算机安全管理软件,采用创新机制严格、精准控制程序的运行。区别于传统安全和防病毒软件只能防护已知风险,白盾采用白名单机制管理可执行程序(EXE)、操作系统内核模块(SYS)、以及动态链接库文件(DLL),所有其余未许可的执行动作一律拦截。白盾通过对操作系统执行机制的深入理解和管控,可以保障计算机安全运行可信程序,杜绝“零日攻击”的威胁。白名单可智能区分正常更新与恶意篡改,白名单可自动更新,维护简单、安全可靠,是企业计算机安全的保护盾。
关于浙江网新恒天软件有限公司
恒天软件是浙大网新、美国道富和浙江大学战略联盟的结晶,是一家致力于为中外企业提供可靠的、专业的IT服务及产品的软件公司。恒天软件提供企业级软件的定制开发服务,并有覆盖金融、制造、零售等行业的IT产品和解决方案。