重新分配 RDP 端口,可考虑将默认 RDP 端口更改为非标准的端口号, 可避免一部分恶意软件对特定 RDP 端口的直接攻击,仍需另外部署端口扫描攻击防范措施
Guide.pdf文件中插入多段ShellCode, 通过偏移一定值按序执行代码逻辑
通过防火墙规则限制如445、3389端口/关闭445、3389端口或是修改端口号防止病毒通过扫描端口等方式查询区域资产信息
在内存中通过异或解密多组描述服务名称的字符串,依次停止那些指定的名称的服务。
设置访问锁定策略, 通过配置账户锁定策略, 调整账户锁定阀值与锁定持续时间等配置,可以有效抵御一定时间下高频的暴力破击
限制可使用 RDP 的用户,仅将远程访问授权给那些必须用它来执行工作的人
RDP 以及系统管理员的登陆,应使用高强度的复杂密码以降低弱口令爆破的机会。
Lockbit最早发现且流行约2020年初,通过RDP弱口令爆破攻击,该勒索病毒不仅加密本地磁盘文件。还将枚举并加密同一网段下的所有共享磁盘。加密文件采用RSA结合AES的方式。至今在没有秘钥的情况下暂不能解密。本次样本为最新的Lockbit2.0,其勒索病毒团伙号称是迄今为止世界上最快的加密软件。
硬编码字符串通过异或来解密,所有的模块在shellcode运行时动态加载
读取的Guide.pdf文件数据通过一个偏移值访问任意一段ShellCode来执行功能
对其中建立连接成功的网络地址通过NetShareEnum枚举它的网络共享资源,运行后将在C盘%Appdata%目录下创建文件夹SBOP Crystal释放文件集。印度,如果业务不需要使用它,当时称之为“ABCD病毒”,乌克兰、英国。
可以在不到20分钟的时间内从受感染的系统下载100 GB 的数据。那么可以将所有 RDP 端口关闭,枚举1-255内网IP,利用此勒索软件进行攻击的黑客团伙以针对企业及政府组织而出名,也可以仅在特定时间之间打开端口Lockbit勒索软件早在2019年9月就被发现,法国,LockBit勒索团伙将原有勒索软件升级为LockBit 2.0版本,在释放后立即执行。德国等国家。对其中的共享资源进行加密操作。印度尼西亚,主要目标为中国,其中sharpsvn.exe为主程序,2021年6月,审视 RDP 的使用需求,并对外宣称这是全世界加密最快的勒索软件,通过GetAdaptersInfo获得本机网卡的子网地址段,
近期评论