课程学习
  • 技术入门
  • 安全证书
  • 安全意识
  • 大咖讲座
  • 网安公开课
  • 2020安全周
人才培养 安全守护

Hermetic Wiper爆发!天融信由“边”到“端”构筑立体化安全防线

发表时间:2022-03-02 18:28
警惕!

如今,人类信息技术的向前发展, “千里眼、顺风耳”的神话早已成为现实,信息战更是成为现代战争的焦点之一。近日,一种复杂新型恶意软件Hermetic Wiper(又名KillDisk.NCV)的攻击再一次在两国战争中受到人们的关注。该恶意软件利用Hermetica Digital Ltd证书进行签名,并调用磁盘分区合法驱动程序,绕开杀毒软件检测,破坏Windows电脑的MBR分区,影响系统正常启动,危害巨大。



如果说网络攻击在国家间是一场没有硝烟的战争,那么对于企业而言,网络攻击就更是形同生与死的抗争。网络攻击中可能存在隐秘性攻击,如窃取情报、破坏重要数据、瘫痪通信系统等一系列问题。
天融信从边界出发,逐步筑牢多维度网络安全防线,构建边界到终端的立体化防御体系,并提供全面的安全保护,有效阻止该恶意软件蔓延。经验证,天融信下一代防火墙、EDR、病毒过滤网关以及僵木蠕检测系统等系列产品均可精确检测并查杀该恶意软件。


病毒信息概况与样本分析


图片


下滑查看样本完整分析▽▽▽

程序运行后首先提升SeBackupPrivilege权限;

图片


之后获取主机处理器的位数,从PE资源段中释放对应的驱动文件;

图片


以服务的方式加载驱动,并更改活跃状态的系统vss服务启动类型SERVICE_DISABLED从而禁用vss服务;



在c:/windows/system32/driver目录下释放四个字母命名的驱动程序xrdr.sys并加载驱动;



创建多个线程并使用长时间的sleep来绕过沙箱的监控时间;



xrdr.sys驱动程序同样具有数字签名但已经过期。其数字签名隶属于成都某科技有限公司,从驱动的编译时间和签名时间、PDB等信息可以推断驱动文件很可能是白文件,属于驱动的白利用。该驱动程序是 EaseUS Partition Master 软件中的合法驱动程序;


HermeticWiper,exe进程占用了较高的CPU使用率,并向驱动发送IOCTL控制码,占用很高的I/O使用率;



当手动进行重启后,由于HermeticWiper,exe更改了系统底层系统VBR,系统已经无法进行正常开机。

图片




边界侧 双重防御无遗漏

一重防御


作为整体防毒的第一道防线,天融信过滤网关针对多种协议流量进行病毒检测过滤,有效防御通过文件、邮件、网页等方式捆绑传播的病毒于内网之外,实现主动性、持续性、合规性的病毒防御,快速检测并处置各类恶意软件或代码。
针对HermeticWiper恶意软件,天融信过滤网关检测处置分为三步,即可提供持续性不间断的病毒检测处置服务,并辅以实时提示告警、病毒爆发报警、详细的日志、可视化报表。
一、升级到最新病毒特征库


图片


二、启用病毒扫描服务


图片


三、选择病毒处理方式


图片


已购买天融信过滤网关系统(TopFilter)的客户,可通过以下路径升级最新病毒库。
病毒库版本号:kav-v2022.03.01.tir;
下载地址:ftp://ftp.topsec.com.cn/防病毒网关(Top-Filter)/病毒库脱机升级包/检测病毒库;

二重防御



天融信僵尸网络木马和蠕虫监测与处置系统(TopTVD),集攻击检测、DDoS检测、僵木蠕检测、恶意程序检测、APT检测、WEB安全检测、虚拟沙箱、元数据提取、流量分析九大功能为一体;首创应用TAI-1智慧引擎+虚拟沙箱技术,拥有嵌入式威胁情报库;实现多种威胁全面检测,打破了传统特征库匹配技术束缚,是发现未知威胁特别是APT攻击的有力工具。

目前,天融信僵尸网络木马和蠕虫监测与处置系统已可以针对此恶意软件攻击进行安全检测。已购买天融信僵尸网络木马和蠕虫监测与处置系统(TopTVD)的客户,可以升级威胁情报库进行有效监测防护。

威胁情报库版本号:ti-v2022.03.01.001.tor;

下载地址:ftp://ftp.topsec.com.cn/天融信下一代入侵防御系统(NGIDP)/威胁情报库/ ti-v2022.03.01.001.tor。

图片

图片




终端侧 全方位保护防篡改

在终端侧,天融信EDR通过预防、防御、检测、响应的一体化安全体系赋予终端威胁防御能力,通过持续地防御和检测分析,更精准地识别各种勒索病毒对终端的入侵,产品结合多维度病毒防御、系统加固、微隔离及主动响应等技术,全方位防御病毒。
针对HermeticWiper恶意软件,当该恶意软件未被触发,天融信EDR通过病毒扫描即可对其进行精准识别与处理;当该恶意软件被触发,则会对系统目录进行篡改破坏磁盘,天融信EDR客户端系统加固技术可对系统关键位置进行重点监控,防止被恶意篡改,清除或破坏系统数据。同时,若该恶意软件通过U盘、邮件、网页、通信工具等方式传播,天融信EDR则可以通过U盘保护、邮件保护、恶意网站拦截、文件实施监控等多维度病毒防御,全面杜绝恶意软件落地终端。


图片

天融信EDR获取方式:

  • 天融信EDR企业版试用:可通过天融信各地分公司获取(查询网址:http://www.topsec.com.cn/contact/)

  • 天融信EDR单机版下载地址:http://edr.topsec.com.cn



针对安全事件频发,天融信建议可通过以下几个方法进行防范:

不要打开来历不明的网页、电子邮件链接或附件,这些很可能隐藏着大量的病毒、木马,一旦打开,会自动进入电脑并隐藏在电脑中,造成文件丢失损坏甚至导致系统瘫痪;
定期备份电脑中的重要文件资料,以防止在意外情况下造成的文件信息丢失问题;
操作系统密码采用高强度组合,同时不定期的更换密码,如果密码一成不变的话,极易引起系统的安全性问题;
及时修复系统漏洞,漏洞就像是计算机脆弱的后门,病毒和恶意软件可以通过这个脆弱的后门乘虚而入。

没有网络安全就没有国家安全。网络空间已经继陆、海、空、天之后成为第五大战略空间。全球网络空间治理的无政府状态,使各类行为体都面临日益增长的风险和威胁。未来,天融信将始终以捍卫国家网络空间安全为己任,不断加大前沿技术研究投入,持续提升自主创新能力与核心竞争力,致力于提升国家网络安全保障能力,为数字中国建设筑牢网络安全防线!



分享到:
关注我们
联系我们
联系电话:400-017-0077
电子邮件:service@topsec-edu.cn
联系地址:北京市海淀区中关村软件园9号楼3区C座4层

认证培训
校企合作
企业服务
CISP
CISP-DSG
CISSP
CCSRP

1+X 证书认证
协同育人
共建产业学院
共建实验室
定制培训
赛事服务
安全意识
©2021 北京天融信教育科技有限公司