前次，我通過(guò)“GandCrab勒索病毒軟件和Ursnif病毒通過(guò)MS Word宏傳播”介紹了國(guó)外安全研究人員最近發(fā)現(xiàn)的兩個(gè)單獨(dú)的惡意軟件活動(dòng)，一個(gè)是Ursnif數(shù)據(jù)竊取木馬和GandCrab勒索病毒軟件組合在野外分發(fā)，而第二個(gè)僅用Ursnif惡意軟件對(duì)用戶(hù)設(shè)備進(jìn)行感染。這兩個(gè)惡意軟件活動(dòng)似乎都是兩個(gè)獨(dú)立的網(wǎng)絡(luò)犯罪集團(tuán)操縱，但發(fā)現(xiàn)其中還是有許多相似之處。這兩種攻擊都是通過(guò)包含嵌入了惡意宏的Microsoft Word文檔附件，進(jìn)行網(wǎng)絡(luò)釣魚(yú)電子郵件開(kāi)始，然后使用Powershell提供無(wú)文件惡意攻擊。其組合方式可以是：MS Docs + VBS宏= Ursnif和GandCrab、MSDocs + VBS宏= Ursnif。

后來(lái)我通過(guò)“越來(lái)越多的黑客使用RDP建立網(wǎng)絡(luò)隧道來(lái)繞過(guò)安全保護(hù)措施”又對(duì)利用RDP攻擊的，而也在文章中簡(jiǎn)單提到了如果GandCrab結(jié)合后，產(chǎn)生的惡劣影響會(huì)是極其深遠(yuǎn)的。結(jié)合前幾天河南卡巴斯基文章與安全圈信息，最近GandCrab勒索病毒有案例出現(xiàn)。針對(duì)結(jié)合RDP與GandCrab合體攻擊情況，我結(jié)合“WannaCry”病毒以及常規(guī)的安全防護(hù)策略，做了一些簡(jiǎn)單的安全防護(hù)描述，現(xiàn)提煉如下，供大家參考!

• 提高口令強(qiáng)度和復(fù)雜度，避免弱口令和口令復(fù)用;
• 安裝專(zhuān)業(yè)靠譜的殺毒軟件，并開(kāi)啟主動(dòng)防御功能。并不是所有的殺毒軟件都可以防范。
• 結(jié)合WannaCry病毒，建議關(guān)閉3389、445、139、135等端口，如工作必須開(kāi)啟這些端口，建議采取白名單策略;
• 系統(tǒng)保持更新，及時(shí)修補(bǔ)操作系統(tǒng)漏洞;
• 做好數(shù)據(jù)備份，備份是當(dāng)下應(yīng)對(duì)勒索病毒的最有效手段之一;
• 保存相關(guān)日志，日志的完整保存是分析研判安全事件的原始資料，保存根據(jù)法律法規(guī)進(jìn)行相關(guān)日志保存與備份等。

友情提示：在等級(jí)保護(hù)中，日志審計(jì)要保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷，對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋?！毒W(wǎng)絡(luò)安全法》明確規(guī)定，按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月等，所以日志留存無(wú)論是網(wǎng)絡(luò)安全等級(jí)保護(hù)制度還是《網(wǎng)絡(luò)安全法》都對(duì)其有要求。合規(guī)性是執(zhí)行網(wǎng)絡(luò)安全的基礎(chǔ)，在合規(guī)性基礎(chǔ)上無(wú)論多認(rèn)真都不為過(guò)。網(wǎng)絡(luò)安全界流傳一句話(huà)，意思是所有網(wǎng)絡(luò)風(fēng)險(xiǎn)隱患都能導(dǎo)致安全事件，只是時(shí)間問(wèn)題。

[[256762]]

過(guò)完小年，奔著大年去了。春節(jié)是我國(guó)最重要的傳統(tǒng)節(jié)日，做好網(wǎng)絡(luò)安全工作，保證網(wǎng)絡(luò)空間的安全清朗，讓我們?cè)诰W(wǎng)上網(wǎng)下共度佳節(jié)。