控制器 1756-PA75 結構緊湊 一站式服務

控制器 1756-PA75 結構緊湊 一站式服務

控制器 1756-PA75 結構緊湊 一站式服務

 仿真環境內勒索攻擊應急響應

工業網絡靶場的仿真環境內嵌完整的應急響應步驟，制造業企業可根據現場攻擊者勒索的主機，進行應急響應步驟，通過辦公人員發現主機****彈框通知信息安全人員，信息安全人員對被勒索主機網絡隔離、病毒分析、阻止擴散、殺毒、解密、加固等應急響應。

此次勒索攻擊復現為了使企業環境和攻擊環境高度仿真，均使用靶場模擬外網地址，并非真實公網地址。

紅色代表攻擊路線、藍色代表應急路線，如下圖所示:

4.1    應急響應步驟

4.1.1    主機日志排查

系統感染****，界面彈出勒索信件，此時系統內的文件已經被病毒加密無法正常訪問。要求受害者支付贖金才能解密文件并恢復訪問權限。

為判斷此次攻擊事件始末以及后續處置的分析溯源，通過對主機端口連接情況進行分析和溯源，獲得更多關于攻擊事件的信息，并為進一步的調查和處置提供指導。可初步排查可疑IP。（注釋：12.12.12.3靶場虛擬    IP）。

4.1.2    禁用網卡

為了降低勒索事件的損失并限制病毒的進一步傳播，禁用受攻擊主機的網卡以實現斷網處理。這將阻止病毒繼續擴散至內網中的其他主機，并防止事件對公司業務的正常運行產生更大的影響。此外，斷網處理還有助于阻斷攻擊者與受感染主機之間的連接。

4.1.3    病毒分析

根據****加密文件的后綴和勒索信件的內容進行判斷，經過謹慎縝密地分析，確認該****屬于WannaCry家族****。該病毒通過網絡傳播和感染計算機，然后加密受害者的文件，并要求支付贖金以獲取解密密鑰。

4.1.4    排查內網主機

逐一排查內網內其他主機的運行狀態，判斷是否被病毒擴散傳染，由于此次應急響應迅速，病毒并未繼續擴散，內網其他主機仍處于安全狀態。

4.1.5    安全設備排查

查看安全設備日志對此次攻擊事件進行溯源分析，通過燈塔安全威脅誘捕審計系統捕獲到攻擊者畫像，系統分析此次攻擊疑似境外黑客所為。（注釋：12.12.12.3靶場虛擬IP）。

通過對主機系統日志件和安全設備日志事件的對比，可以排查攻擊者。（注釋：12.12.12.3靶場虛擬IP）。

捕獲到該攻擊IP曾嘗試通過3389端口遠程連接公網地址，因此該IP有可能為此次攻擊事件的攻擊者。（注釋：12.12.12.3靶場虛擬ip）。

4.2    數據恢復

4.2.1    病毒查殺

導入安全殺毒軟件的離線包，對感染主機進行殺毒，通過對系統磁盤進行掃描檢測發現主機所中病毒并將其查殺。

4.2.2    文件恢復

雖然通過殺毒軟件查殺了系統中的****程序，但并沒能恢復被病毒所加密的文件，因此需要導入文件恢復工具離線包來嘗試恢復這些文件。

文件恢復工具的成功率通常取決于多個因素，包括病毒的加密強度、加密算法的復雜性以及文件本身的完整性，因此并不能完全依賴文件恢復工具恢復所有損失。通過對比可以發現，只有部分被加密的文件能夠成功恢復，受害主機中仍有大量文件未得到恢復。

4.2.3    數據備份恢復

鑒于文件恢復工具無法完全恢復本次****事件所造成的影響和破壞，需要采取數據備份方法來還原系統。利用備份的數據可將系統還原至病毒入侵前近一次狀態，消除勒索攻擊的影響，并將系統恢復到可信的狀態。

控制器 1756-PA75 結構緊湊 一站式服務