Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:17683 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
不可掉以轻心|12年前的蠕虫病毒再次被唤醒,设备防护安排起来
本文来自公众号:绿盟科技   2021.01.14 15:20:40


01

综述

2021年1月13日,绿盟科技应急响应团队接到全国多个客户反馈感染所谓的 incaseformat 病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录下 均存在名为 incaseformat.log 的空文件,因此网络上将此病毒命名为 incaseformat。


点击此处回顾:

【安全事件】沉睡多年的incaseformat蠕虫病毒今日被唤醒!


02

病毒概述

从搜索引擎结果来看,该病毒最早出现时间为 2009 年,主流杀毒软件厂商均将此病毒命 名为 Worm.Win32.Autorun,从名称可以判断该病毒为 Windows 平台通过移动介质传播的病毒。


病毒在非系统盘运行时会将自身复制到Windows目录下,将自身图标伪装成文件夹并且修改注册表实现自启动。该目录下的病毒会在主机重启后运行,随后遍历所有非系统分区下的目录并且设置为隐藏,并且创建同名的病毒文件,此外还会通过修改注册表,实现不显示隐藏文件及隐藏已知文件类型扩展名。最后对非系统分区下所有文件执行删除操作,并创建 incaseformat.log 文件。


03

检测防护建议

绿盟科技已发布处置建议:http://blog.nsfocus.net/incaseformat/


同时,绿盟科技产品为客户提供有效的检测和防护能力。


绿盟科技终端安全 UES

绿盟统一终端安全 UES 是集病毒查杀,EDR,终端管理等一体化终端安全产品。通过部署绿盟 UES 产品,全方位对已知恶意文件,未知恶意程序进行安全检测,加强企业内网安全监测与防范。


针对此次事件,UES提供如下检测防护配置建议:

1. 安全团队已将 incaseformat 病毒列为活跃性病毒,管理员及时开启 EDR 检测策略, 重点监测,及时响应。

2. 管理员可通过攻击诱饵配置,以捕获 incaseformat 病毒及其可能的变种,一旦发现恶 意删除行为,则及时进行阻断,最大限度的降低用户损失。

3. 管理员可通过配置终端启动项防护,U 盘诊断,恶意软件等策略最高层面上防护内 网用户主机发生类似事件。


绿盟科技智能安全运营平台 ISOP

绿盟智能安全平台ISOP是一款智能的安全运营中心产品,能够接入各类安全日志,并智能识别其中的威胁,并提供自动化响应动作。


针对此次事件,对于接入了终端ues日志的平台,可以通过平台威胁管理-智能搜索页面,根据以下方式检测是否受次威胁影响,并定位受影响资产:


a) 基于样本hash的检索
sample_file_md5:"1071d6d497a10cef44db396c07ccde65" OR file_md5:"1071d6d497a10cef44db396c07ccde65" OR sample_file_md5:"4B982FE1558576B420589FAA9D55E81A" OR file_md5:"4B982FE1558576B420589FAA9D55E81A" OR sample_file_sha256:"8c8793eb7c80a09e1542e424ea89c23c195d364892620562e06b3df602890929" OR sample_file_sha1:"71aa3a0af1eda821a1deddf616841c14c3bbd2e3"


b) 基于进程特征
process_path: "ttry.exe" OR process_path: "tsay.exe"


c) 基于注册表项的值特征
old_value:"C:\\windows\\tsay.exe" OR old_value:"C:\\windows\\ttry.exe" OR new_value:"C:\\windows\\tsay.exe" OR new_value:"C:\\windows\\ttry.exe"


d) 基于注册表路径特征
registry_path:"\\RunOnce\\" AND registry_name:"msfsa"

如果定位到受影响资产,请及时去资产上排查。


绿盟科技远程安全评估系统 RSAS

绿盟远程安全评估系统 RSAS是结合了多年漏洞挖掘和安全服务实践经验的新一代漏洞管理产品,可以高效、全方位的检测主机中的脆弱性风险,提供专业、有效的安全分析和修补建议。


针对本次事件,RSAS已发布系统插件升级包,用户升级至最新版本(V6.0R02F01.2101)即可对该病毒进行检测。


http://update.nsfocus.com/update/listRsasDetail/v/vulsys


声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。