1.“银狐”来袭
对于企业来说,使用企业微信、飞连、钉钉办公已经成为常态,这些协同办公软件有效提升了工作效率,但也被一些攻击者盯上,发动针对性的木马攻击。
近日,某公司人员在PC上的微信群里,看到一份名为《补贴发放通知》的文件,习惯性的点开,几分钟后,发现自己的PC不受控制,向电脑上的微信群、钉钉群疯狂转发该文件,情急之下连忙强行关机。就几十分钟内,因为文件转发到工作群,又被几十个人点击,造成多人木马感染。后经过公司IT人员紧急断网,进行全公司病毒检查,发现中招的PC上被植入了木马病毒,最后对中招的PC做了重装处理。
2.“银狐”特点
以上就是典型的银狐木马,特点为攻击者利用社交媒体、企业群发送文件、链接、二维码,诱导用户填写银行卡号、验证码等信息,种植远程控制木马,并且以中招终端为跳板,在内网发动横向攻击。
绝大多数人对企业群有天然的信任感,如果看到工作群里一个文件,第一反应是双击打开,或者按照链接的要求填下信息。
“银狐”木马隐蔽性很强,利用了人们对办公软件的信任感,防不胜防,最近已经有多家企业中招,造成不同程度的损失。并且攻击者还会与时俱进,结合当前的热点制作文件和链接,比如《YU7抢买指南》、《如何填志愿》等。
3.预防策略
对于企业来说,如何应对? 企业可从预防、处置两个维度,构建应对策略。
预防方面,最重要的是部署必要的安全设备、升级系统补丁、对员工进行安全意识培训。
安全设备部署,建议部署防火墙,并设置严格的访问控制策略。部署入侵检测/防御系统(IDS/IPS),实时监控网络流量,尤其是异常的外部链接。对企业内所有终端统一安装杀毒软件,开启实时病毒扫描和行为监控,并且保持病毒库及时更新。
定期扫描操作系统漏洞,升级操作系统补丁。对于已经生命周期结束的操作系统,如Windows 7等,逐步淘汰升级。对财务数据、客户信息、研发文档等敏感数据加密存储。
员工安全意识培训,包括培训员工不要随意点击群文件和链接,不要随意扫描群二维码。组织钓鱼邮件演练,禁止从非官方渠道下载软件,避免使用弱密码等。
4.处置方法
处置方面,关键是快速响应,病毒清除、分析溯源。
快速响应包括发现、确认、隔离。通过终端安全软件告警、系统异常,如 CPU 占用率飙升、异常网络连接,或员工上报发现疑似感染。确认后应快速隔离与断网,立即将感染设备从企业网络断开,拔网线或禁用 WiFi,也可以通过防火墙封禁IP,防止银狐木马向其他设备扩散。
病毒清除可进行深度扫描与查杀,在安全模式下使用离线杀毒工具进行全盘扫描,重点清除银狐木马的核心文件。手动检查注册表启动项,清理浏览器插件和工具栏,防止木马通过浏览器扩展持续驻留。若清除难度较大,可重装系统。
溯源分析与损失评估,包括日志分析与溯源,查看感染设备的安全日志、杀毒软件日志,追溯银狐木马的入侵路径,定位攻击源 IP 或域名。数据泄露风险评估,检查敏感数据目录的访问记录,如文件服务器的共享日志,确认是否有数据被上传至黑客服务器。
5.总结建议
“银狐”木马给企业带来了严重的安全威胁,企业必须高度重视。在预防方面,要全面部署安全设备,升级系统补丁,加强员工安全意识培训,从多个方面构建安全防线。在处置方面,要快速响应,及时清除病毒,进行溯源分析和损失评估。只有这样,才能有效地应对“银狐”木马的攻击,保障企业的网络安全和数据安全。
