@
tnx2014 @
sincway @
NeoAtlantis 你们都从技术角度想太多,太多,太多了。
这个病毒其实早就有,大概三年前,反正令我对反病毒的认识有了些改观。
和楼主看到的这个有些不一样:我看到的是一个用autoit这种大家看不上的脚本语言,一小时就能写出来的简单脚本,甚至壳都没加。但逻辑完全一致,针对的就是用户目录下的office文档,用的autoit自带的aes加密,加密密码通过境外服务器获得。
反倒是因为没用任何什么的高级技术,用的全部都是autoit这个脚本语言自带的常见语法,该病毒至少一年半时间没被杀软杀。
我们面对的攻击者准备想的很周全,他伪装了发件人地址,全部是我们的东欧客户,而收件人全部是单位环球交易服务部的员工和领导,邮件内容是一些交易信息的核对请求。交易方式也是btc,大概要求数万人民币。
好在单位有严格的域环境,内外网隔离,同时同事有几个还算警觉,只有一个漫游在家的人中招。在报案并排除自己人犯案后,基本确定是几个东欧客户的信息被盗所致,因为同业也有相关报案。
反正这事记忆深刻,因为我了解到:
1. 对于黑客,最最最重要的是前期对目标的选择和目标资料的准备,而不是高深的混淆技术什么的。不过这方面防范技术上没有什么主动应对手段,只能通过内控管理加强。
2.同时杀软对于特别简单的脚本,基本没有判断能力,我们用的趋势,完全只是针对脚本获取主程序的url进行了特征码。因为脚本其他部分完全是正常大型企业windows运维所需的一个小小子集。
为此我们通过域策略对exe程序实施基于证书的白名单制度,vbs,批处理等等完全禁止执行。运维脚本则全部打包exe打上数字证书。要求员工尽可能把文档都扔进Sharepoint。