3. 下载破解软件,导致内网终端自动发送恶意邮件
事件概述
某日,安服应急响应团队接到制造业某企业应急响应请求,其内网中多个终端出现自动发送恶意邮件行为,希望对该事件进行分析排查处理。
应急人员抵达现场后对邮件样本进行分析,判断该病毒为"永恒之蓝下载器木马"家族的最新变种。分析邮件日志发现,第一封恶意邮件于事发当天15:32由员工A邮箱发出。对员工A主机进行分析发现,该主机中天擎存在多个"永恒之蓝下载器木马"恶意文件拦截记录。继续对其系统日志及计划任务分析发现,事发当天员工A主机曾成功执行永恒之蓝下载器木马恶意计划任务。
应急人员与员工A沟通了解到,他半年前曾通过第三方渠道下载某破解版软件,从安装该软件之后,天擎就曾有相关拦截提示。事发当天,因误操作,对天擎弹出的拦截提示点了"允许请求"。
经过最终分析研判确定,因员工A安全意识不足,安装了携带木马的破解版软件,导致个人主机感染"永恒之蓝下载器木马"病毒,后又因误操作对天擎弹出的告警点击了"允许请求",导致病毒下载执行了挖矿模块和邮件攻击模块,并以员工A主机为源头,通过读取邮箱通讯录,向其联系人发送恶意邮件导致了内网大范围传播。
防护建议
- 禁止或限制个人PC接入内网,如业务需要,增加访问控制ACL策略,采用白名单机制只允许对个人PC开放特定的业务必要端口,其他端口一律禁止访问
- 禁止通过非官方渠道下载应用软件,不随意点击来历不明的链接,加强内部人员安全意识
- 浏览网页或启动客户端时注意CPU/GPU的使用率,出现异常时,及时排查异常进程,找到挖矿程序并清除
- 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化