• [整体安全] 【云小课】| 安全第15课 HSS对近期Cactus勒索病毒的分析
    【摘要】 Cactus勒索病毒的解析与防护建议。近期热点勒索事件2023年首次发现的勒索病毒Cactus已迅速在数字领域蔓延,利用漏洞(尤其是VPN的漏洞)获得未经授权的访问并在受损的基础设施中建立据点,采用动态加密方法并利用许多工具和技术来确保其恶意负载有效且隐蔽地传递,攻击领域多种多样,主要针对从事制造和专业服务业务的组织,并已经攻击达到9个国家。Cactus勒索病毒自2023年3月份开始活动以来一直很活跃,主要针对大型商业实体进行大量勒索。它采用双重勒索策略,在加密前窃取敏感数据,并在其网站威胁公开数据。Cactus勒索病毒利用Fortinet VPN漏洞、Qlik Sense公开暴露的安装漏洞和恶意广告传播的Danabot恶意软件,以获取初始访问权限,然后使用批处理脚本解压7-zip文件来提取勒索病毒可执行程序,并试图删除杀毒软件以逃避检测,它会在执行加密文件恶意代码前删除可执行程序,加密后,它会附加“.CTS[数字]”扩展名,如:1.jpg.CTS1、2.jpg.CTS1、3.jpg.CTS2等,在被加密的文件夹下,会有名为“cAcTuS.readme.txt”的勒索信。1. Cactus勒索病毒:初始入侵阶段Cactus勒索病毒可能采用的攻击手法包括:通过Fortinet VPN漏洞、Qlik Sense漏洞、流氓软件植入木马Danabot等获取初始访问权限。2. Cactus勒索病毒:感染与执行阶段Cactus与常见的勒索软件一样,在感染阶段会执行持久化、提权、横向移动、探测内网敏感数据、禁用安全软件等操作。Cactus在获取初始访问权限后,通过计划任务建立SSH后门来维持权限;使用SoftPerfect、Network Scanner(netscan)、PSnmap.ps1以及powershell命令扫描探测内网主机;同时,安装合法远程访问软件Splashtop、AnyDesk、SuperOps RMM来控制失陷主机并向其植入恶意文件。Cactus通过窃取浏览器配置文件中的凭据和LSASS进程中的凭据来进行权限提升,以及后续的横向移动,在失陷主机上还发现了用来加密通信的Chisel和攻击工具Cobalt Strike。在获取到足够的权限后,植入的恶意文件通过批处理脚本执行恶意操作,并用msiexec来卸载安全软件。Cactus在最后阶段使用Rclone等工具窃取数据,窃取完成后,开始加密失陷主机的数据。PowerShell脚本TotalExec.ps1使用PsExec部署加密器,批处理脚本f1.bat创建用户并赋予管理员权限,配置系统以安全模式启动,配置用户在进入系统时自动登录,并在RunOnce注册表中添加执行第二个批处理脚本f2.bat,然后5秒后强制重启系统并删除自己。图1 f1.bat脚本图2 f2.bat脚本(负责加密失陷主机的文件)f2.bat脚本移除安全模式启动的配置,解压7z文件得到勒索病毒加密组件,然后删除7z压缩包以及7.exe程序,然后通过PsExec在内网扫描入侵的主机上执行加密组件。Cactus勒索病毒可执行程序有-s、-r、-i、-l、-e、-c、-t、-d、-f等参数可选,不同的参数对应不同的行为。主要有下面3种模式:(1)安装模式通过在命令行中传递“-s”标志来触发,可执行文件会将自己复制到C:\ProgramData{Victim_ID}.exe,然后将在C:\ProgramData\ntuser.dat中写入一个配置文件,其中包含原始可执行文件的路径。然后,它会创建并执行一个计划任务来运行程序C:\ProgramData\{Victim_ID}.exe。(2)读取配置模式通过传递“-r”标志,它进入读取配置模式,读取ntuser.dat文件,提取一些字段,使用它们执行不同的操作,然后退出。(3)加密模式Cactus勒索病毒搜索文件系统,并开始使用线程加密多个文件。实现对多个文件进行加密。加密文件的扩展名为“.cts”,其中的“int”可以用任何随机数代替。Cactus采用双重勒索策略会把受害者的文件窃取再加密这些文件。Cactus采用AES+RSA算法加密文件,加密完成后,释放勒索信,命名为 “CAcTuS.readme.txt”。我们可以从以下流程图中观察Cactus勒索病毒执行流程。3. Cactus勒索病毒:数据外泄阶段Cactus勒索病毒会使用合法的云同步工具RClone等,以上传窃取的数据。勒索病毒防护方案按照勒索病毒攻击的3个阶段,进行有针对性的防护。攻击阶段包括:勒索病毒攻击入侵、勒索病毒横向扩散和勒索加密。在攻击入侵前进行事前识别与防御,可有效收敛攻击面;在攻击入侵及横向移动时进行告警,可及时发现勒索病毒入侵行为;在产生告警时进行自动处置,可有效阻断勒索病毒的加密行为和扩散;在勒索加密发生后进行数据恢复,可以保障业务及时恢复。1. 事前识别与防御华为云主机安全服务HSS对勒索攻击提供全链路的安全防护,攻击入侵前,可使用HSS提供的风险预防功能,包含基线检查、漏洞管理、容器镜像安全扫描,对企业资产进行梳理,对服务器的各项服务进行基线检查,以及对服务器运行的各类应用进行漏洞扫描,及时修复漏洞,收敛攻击面,降低服务器被入侵风险。步骤1:进入“基线检查”页面,处理配置风险、弱口令风险等。​步骤2:进入“漏洞管理”页面,扫描并修复漏洞。2. 事中威胁检测黑客进行勒索首先需要获取边界服务器的权限,在攻击过程运用多种攻击手段进行入侵,所以需要在黑客入侵过程,对各类入侵攻击进行及时告警、阻断,华为云主机安全服务HSS支持对暴力破解、漏洞利用、Webshell、反弹shell、病毒、木马、Rootkit等的检测。Cactus勒索攻击的常见战术行为列表及华为云主机安全HSS对应检测能力项如下表,HSS提供对攻击路径全链路的检测:针对勒索病毒,华为云主机安全服务HSS提供了多维度的检测能力,包括AV病毒引擎检测、诱饵文件检测、HIPS主机入侵规则检测。AV病毒引擎根据勒索病毒特征进行检测,诱饵文件根据勒索病毒加密行为进行检测,HIPS引擎对勒索病毒常见异常行为进行检测。3. 事中监控与处置在华为云主机安全服务HSS发现勒索病毒和勒索加密行为后,您可以手动处置,也可以在策略中开启对勒索病毒的自动隔离查杀,防止勒索病毒扩散蔓延。4. 事后恢复若服务器被勒索病毒加密,事后需要及时通过备份恢复数据,分析被入侵的原因,然后进行安全加固,避免再次被入侵勒索。华为云主机安全服务HSS支持一键恢复数据,开启勒索病毒防护策略后,可以对业务数据进行便捷地备份,服务器被勒索病毒入侵后,可以通过云服务器备份进行数据恢复,降低勒索病毒带来的损失。勒索病毒防护建议通过分析Cactus勒索病毒我们可以看到勒索病毒攻击的全部路径,包括攻击入侵、横向移动、勒索加密3大阶段。针对勒索病毒攻击的特点,可以在事前识别与防御、事中威胁检测、事中监控与处置和事后恢复4个阶段进行检测与防御,将勒索病毒的危害降到最低。赶紧戳这里,体验华为云主机安全服务防勒索能力!
  • [问题求助] 误杀图吧工具箱
    软件太大我就不上传了,这是软件官网https://www.tbtool.cn/
  • [整体安全] 【云小课】| 安全第14课 HSS教您如何应对近期发生的LockBit勒索事件
    【摘要】 勒索病毒是一种极具破坏性、传播性的恶意软件,勒索手段也逐步发展为加密数据、威胁泄露敏感数据、DDoS攻击威胁和供应链攻击等多阶段勒索。近期某银行的美国子公司发布公告被勒索攻击,数十亿美元的业务受到影响。一旦被勒索,会严重影响公司运作、数据安全以及公司声誉。近期热点勒索事件2023年11月10日,某银行的美国全资子公司在官网发布声明称11月8日遭受了勒索软件攻击导致部分系统中断。并且11月9日LockBit勒索组织公开确认对此次攻击负责。LockBit是一种勒索软件家族,最初出现在2019年,目前已经升级至LockBit3.0,已发展成为一种具有高度定制化和复杂特性的勒索软件,并提供勒索软件即服务(RaaS)能力,是2023年最多产的勒索软件组织,其受害者名单不乏世界知名企业和机构,覆盖金融服务、食品和农业、教育、能源、政府、医疗保健、制造业和运输等,如果受害者不支付赎金,则文件可能会永久丢失或被公开泄露。目前某银行尚未公布调查结果,据安全专家 Kevin Beaumont 称攻击者疑似利用Citrix Netscaler Gateway/ADC产品的CVE-2023-4966漏洞发起攻击(Citrix NetScaler Gateway是一套安全的远程接入解决方案,提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。Citrix NetScaler ADC是一个应用程序交付和安全平台。)未授权的远程攻击者可通过利用此漏洞,窃取如cookie等敏感信息,从而绕过身份验证。 LockBit 勒索软件操作遵循勒索软件即服务 (RaaS) 模式,使用附属机构来分发勒索软件,这些附属机构使用不同的攻击方法来渗透并部署勒索软件。初始入侵阶段勒索入侵可能采用的攻击手法包括:远程桌面协议利用(RDP exploitation)、钓鱼活动(Phishing Campaigns)、有效帐户滥用(Abuse of Valid Accounts)、面向公众的应用程序的漏洞利用(Exploitation of Public-facing Applications),该勒索家族历史上利用的典型漏洞有:感染与执行阶段 LockBit与常见的勒索软件一样,在感染阶段会执行持久化、提权、横向移动、探测内网敏感数据、禁用安全软件等操作。Lockbit 3.0在受害者环境中实际执行勒索软件时,可以提供各种参数来控制勒索软件的行为,可以接受额外的参数用于横向移动和加密端点上的特定目录的特定操作。并且通过使用加密可执行文件方式保护自身以躲避检测和分析。LockBit采用双重勒索策略会把受害者的部分文件窃取再加密这些文件。LockBit3.0持续针对windows、linux系统,采用AES+RSA算法加密文件(市面上无相应的解密工具),同时更改桌面壁纸用于提示用户已被勒索,并释放文件名为[Random string].README.txt的勒索信。数据外泄阶段LockBit勒索软件会使用其自研的数据外泄工具StealBit,或合法的云同步工具(如RClone、Mega等),以上传窃取的数据。勒索病毒防护方案按照勒索病毒攻击的3个阶段,进行有针对性的防护。攻击阶段包括:攻击入侵、横向扩散和勒索加密。常见勒索病毒攻击路径分析 :华为云主机安全服务能够在攻击入侵前进行风险预防,在攻击入侵及横向移动时进行告警和攻击阻断,在勒索加密发生后进行数据恢复、安全加固。风险预防华为云主机安全HSS对勒索攻击提供全链路的安全防护,攻击入侵前,可使用HSS主机安全提供的风险预防功能,包含基线检查、漏洞管理、容器镜像安全扫描,对企业资产进行梳理,对服务器的各项服务进行基线检查,以及对服务器运行的各类应用进行漏洞扫描,及时修复漏洞,收敛攻击面,降低服务器被入侵风险。步骤1:进入“基线检查”页面,处理配置风险、弱口令风险等。步骤2:进入“漏洞管理”页面,扫描并修复漏洞。入侵检测与阻断黑客进行勒索首先需要获取边界服务器的权限,在攻击过程运用多种攻击手段进行入侵,所以需要在黑客入侵过程,对各类入侵攻击进行及时告警、阻断,华为云主机安全HSS支持对暴力破解、漏洞利用、Webshell、反弹shell、病毒、木马、Rootkit等的检测。LockBit勒索攻击的常见战术行为列表及华为云主机安全HSS对应检测能力项如下表,HSS提供对攻击路径全链路的检测:针对勒索病毒,华为云主机安全HSS提供了多维度的检测能力,包括AV病毒引擎检测、诱饵文件检测、HIPS主机入侵规则检测。AV病毒引擎根据勒索病毒特征进行检测,诱饵文件根据勒索病毒加密行为进行检测,HIPS引擎对勒索病毒常见异常行为进行检测。在发现勒索病毒和勒索加密行为后,对勒索病毒进程进行阻断,防止勒索病毒扩散蔓延。数据恢复若服务器被勒索病毒加密,事后需要及时通过备份恢复数据,分析被入侵的原因,然后进行安全加固,避免被再次被入侵勒索。华为云主机安全HSS支持一键恢复数据,开启勒索病毒防护策略后,可以对业务数据进行便捷地备份,服务器被勒索病毒入侵后,可以通过云服务器备份进行数据恢复,降低勒索病毒带来的损失。赶紧戳这里,体验华为云主机安全服务防勒索能力! 
  • [问题求助] 不能卸载且造成系统蓝屏
    1、软件安装测试后,引起系统蓝屏(操作系统windows10)【蓝屏主要是在打开word或excel文件时】,蓝屏报错检查显示 “ntoskrnl.exe    ntoskrnl.exe+1d5d29    fffff807`68400000    fffff807`68eb5000    0x00ab5000    0xbf2311e5    2071-08-14 10:56:37    Microsoft® Windows® Operating System    NT Kernel & System    10.0.18362.1556 (WinBuild.160101.0800)    Microsoft Corporation    C:\WINDOWS\system32\ntoskrnl.exe     ”2、想通过控制面板进行卸载,但是N次操作(含重启电脑)仍无法卸载掉。
  • [技术干货] 15条电子元器件检测技巧
    1.单向晶闸管检测可用万用表的R×1k或R×100挡测量任意两极之问的正、反向电阻,如果找到一对极的电阻为低阻值(100Ω~lkΩ),则此时黑表笔所接的为控制极,红表笔所接为阴极,另一个极为阳极。晶闸管共有3个PN结,我们可以通过测量PN结正、反向电阻的大小来判别它的好坏。测量控制极(G)与阴极[C)之间的电阻时,如果正、反向电阻均为零或无穷大,表明控制极短路或断路;测量控制极(G)与阳极(A)之间的电阻时,正、反向电阻读数均应很大;测量阳极(A)与阴极(C)之间的电阻时,正、反向电阻都应很大。2.检查发光数码管的好坏先将万用表置R×10k或R×l00k挡,然后将红表笔与数码管(以共阴数码管为例)的“地”引出端相连,黑表笔依次接数码管其他引出端,七段均应分别发光,否则说明数码管损坏。3.测整流电桥各脚的极性万用表置R×1k挡,黑表笔接桥堆的任意引脚,红表笔先后测其余三只脚,如果读数均为无穷大,则黑表笔所接为桥堆的输出正极,如果读数为4~10kΩ,则黑表笔所接引脚为桥堆的输出负极,其余的两引脚为桥堆的交流输入端。4.双向晶闸管的极性识别双向晶闸管有主电极1、主电极2和控制极,如果用万用表R×1k挡测量两个主电极之间的电阻,读数应近似无穷大,而控制极与任一个主电极之间的正、反向电阻读数只有几十欧。根据这一特性,我们很容易通过测量电极之间电阻大小,识别出双向晶闸管的控制极。而当黑表笔接主电极1。红表笔接控制极时所测得的正向电阻总是要比反向电阻小一些,据此我们也很容易通过测量电阻大小来识别主电极1和主电极2。5.判断晶振的好坏先用万用表(R×10k挡)测晶振两端的电阻值,若为无穷大,说明晶振无短路或漏电;再将试电笔插入市电插孔内,用手指捏住晶振的任一引脚,将另一引脚碰触试电笔顶端的金属部分,若试电笔氖泡发红,说明晶振是好的;若氖泡不亮,则说明晶振损坏。6.判别结型场效应管的电极将万用表置于R×1k挡,用黑表笔接触假定为栅极G的管脚,然后用红表笔分别接触另外两个管脚,若阻值均比较小(5~10 Ω),再将红、黑表笔交换测量一次。如阻值均大(∞),说明都是反向电阻(PN结反向),属N沟道管,且黑表笔接触的管脚为栅极G,并说明原先假定是正确的。若再次测量的阻值均很小,说明是正向电阻,属于P沟道场效应管,黑表笔所接的也是栅极G。若不出现上述情况,可以调换红、黑表笔,按上述方法进行测试,直至判断出栅极为止。一般结型场效应管的源极与漏极在制造时是对称的,所以,当栅极G确定以后,对于源极S、漏极D不一定要判别,因为这两个极可以互换使用。源极与漏极之间的电阻为几千欧。7.三极管电极的判别对于一只型号标示不清或无标志的三极管,要想分辨出它们的三个电极,也可用万用表测试。先将万用表量程开关拨在R×100或R×1k电阻挡上。红表笔任意接触三极管的一个电极,黑表笔依次接触另外两个电极,分别测量它们之间的电阻值,若测出均为几百欧低电阻时,则红表笔接触的电极为基极b,此管为PNP管。若测出均为几十至上百千欧的高电阻时,则红表笔接触的电极也为基极b,此管为NPN管。在判别出管型和基极b的基础上,利用三极管正向电流放大系数比反向电流放大系数大的原理确定集电极。任意假定一个电极为c极,另一个电极为e极。将万用表量程开关拨在R×1k电阻挡上。对于:PNP管,令红表笔接c极,黑表笔接e极,再用手同时捏一下管子的b、c极,但不能使b、c两极直接相碰,测出某一阻值。然后两表笔对调进行第二次测量,将两次测的电阻相比较,对于:PNP型管,阻值小的一次,红表笔所接的电极为集电极。对于NPN型管阻值小的一次,黑表笔所接的电极为集电极。8.电位器的好坏判别先测电位器的标称阻值。用万用表的欧姆挡测“1”、“3”两端(设“2”端为活动触点),其读数应为电位器的标称值,如万用表的指针不动、阻值不动或阻值相差很多,则表明该电位器已损坏。再检查电位器的活动臂与电阻片的接触是否良好。用万用表的欧姆挡测“1”、“2”或“2”、“3”两端,将电位器的转轴按逆时针方向旋至接近“关”的位置,此时电阻应越小越好,再徐徐顺时钟旋转轴柄,电阻应逐渐增大,旋至极端位置时,阻值应接近电位器的标称值。如在电位器的轴柄转动过程中万用表指针有跳动瑚象,描踢活动触』点接触不良。9.激光二极管损坏判别拆下激光二极管,测量其阻值,正常情况下反向阻值应为无穷大,正向阻值在20kΩ~40kΩ。如果所测的正向阻值已超过50kΩ,说明激光二极管性能已下降;如果其正向阻值已超过90kΩ,说明该管已损坏,不能再使用了10.判别红外接收头引脚万用表置R×1k挡,先假设接收头的某脚为接地端,将其与黑表笔相接,用红表笔分别测量另两脚电阻,对比两次所测阻值(一般在4~7k Q范围),电阻较小的一次其红表笔所接为+5V电源引脚,另一阻值较大的则为信号引脚。反之,若用红表笔接已知地脚,黑表笔分别测已知电源脚及信号脚,则阻值都在15kΩ以上,阻值小的引脚为+5V端,阻值偏大的引脚为信号端。如果测量结果符合上述阻值则可判断该接收头完好。11.判断无符号电解电容极性先将电容短路放电,再将两引线做好A、B标记,万用表置R×100或R×1k挡,黑表笔接A引线,红表笔接B引线,待指针静止不动后读数,测完后短路放电;再将黑表笔接B引线,红表笔接A引线,比较两次读数,阻值较大的一次黑表笔所接为正极,红表笔所接为负极。12.测发光二极管取一个容量大于100“F的电解电容器(容量越大,现象越明显),先用万用表R×100挡对其充电,黑表笔接电容正极,红表笔接负极,充电完毕后,黑表笔改接电容负极,将被测发光二极管接于红表笔和电容正极之间。如果发光二极管亮后逐渐熄灭,表明它是好的。此时红表笔接的是发光二极管的负极,电容正极接的是发光二极管的正极。如果发光二极管不亮,将其两端对调重新接上测试,还不亮,表明发光二极管已损坏。13. 光电耦合器检测万用表选用电阻R×100挡,不得选R×10k挡,以防电池电压过高击穿发光二极管。红、黑表笔接输入端,测正、反向电阻,正常时正向电阻为数十欧姆,反向电阻几千欧至几十千欧。若正、反向电阻相近,表明发光二极管已损坏。万用表选电阻R×1挡。红、黑表笔接输出端,测正、反向电阻,正常时均接近于∞,否则受光管损坏。万用表选电阻R×10挡,红、黑表笔分别接输入、输出端测发光管与受光管之间的绝缘电阻(有条件应用兆欧表测其绝缘电阻,此时兆欧表输出额定电压应略低于被测光电耦合器所允许的耐压值),发光管与受光管问绝缘电阻正常应为∞。14.光敏电阻的检测检测时将万用表拨到R×1kΩ挡,把光敏电阻的受光面与入射光线保持垂直,于是在万用表上直接测得的电阻就是亮阻。再把光敏电阻置于完全黑暗的场所,这时万用表所测出的电阻就是暗阻。如果亮阻为几千欧至几十干欧,暗阻为几至几十兆欧,说明光敏电阻是好的。15.测量大容量电容的漏电电阻用500型万用表置于R×10或R×100挡,待指针指向最大值时,再立即改用R×1k挡测量,指针会在较短时间内稳定,从而读出漏电电阻阻值。
  • 【已结束】安全运营工程师用户访谈
    各位体验官大家好!【活动时间】招募期2023.02.13-2023.02.19;参与期2023.02.14-2023.02.22【任务简介】为了解用户作为安全运营工程师的日常工作内容、考核指标,团队分工等,协助设计人员了解体验官对当前方案的体验诉求与体验意见, 帮助企业与机构实现对安全风险与安全事件的有效监控,并及时采取有效措施持续降低安全风险并消除安全事件带来的损失。 本次用户访谈,计划通过对用户场景和行为特征的研究,分析用户在监控,分析,处置等场景的期望与诉求,支撑华为云安全服务竞争力的打造。【体验要求】1,体验场景描述 您是公司的安全运营工程师,日常工作内容为对安全告警事件做出处理,您需要向设计师说明您判断告警严重程度的判断条件,处理流程,团队分工等。 2.体验流程 a.参与访谈活动,分享日常工作情况、团队协作流程 b.对于华为云告警&事件处理页面提出宝贵建议 3,体验完成条件 a.完成线上访谈 b.提出对于平台的建议【活动奖励】100-200元京东卡【报名链接】cid:link_0
  • 《一步步了解iOS APP上架流程,让你的APP顺利进入App Store的大门》
    随着Apple Store越来越成熟,以及越来越多的开发者和公司希望在该平台上投放自己的产品,iOS APP上架成为许多开发者和公司普遍关注的话题。但是,由于苹果App Store的审核政策日益严格,大多数开发者和公司都不太清楚iOS APP上架的具体流程。今天,我们将为您介绍iOS APP上架的具体流程,希望可以帮助您顺利的完成iOS APP的上架。1、准备App Store账号和必要的资料;2、登录App Store Connect并注册开发者账号;3、填写应用信息,包括:应用名称、描述、标签、版本等;4、上传产品报告文件;5、上传应用截图和APP文件;6、提交审核;7、审核通过后,即可在App Store上架。证书我们这边可以借助辅助工具appuploaderAppuploader可以辅助在Windows、linux或mac系统直接申请iOS证书p12,及上传ipa到App Store,最方便在Windows开发上架没有苹果Mac电脑的开发者!配合本教程使用,可以快速掌握如何真机测试及上架!点击苹果证书按钮点击新增 输入证书密码,名称这个密码不是账号密码,而是一个保护证书的密码,是p12文件的密码,此密码设置后没有其他地方可以找到,忘记了只能删除证书重新制作,所以请务必记住密码。还有为了安全起见,密码不要太简单。 证书名称是你为了在证书列表里面便于区别的一个字符,自己好辨识就可以,尽量是是字母和数字之类选择证书类型带distribution的是发布类型,带development的是开发类型。apple类型=ios+mac,所以开发时选择ios app development和apple development 类型都是可以的选择bundle id只有部分类型的证书需要选择bundle id,例如推送证书。因为大部分证书是不和app关联的。而是通过描述文件profile文件关联app。使用appuploader同步服务如果期望制作好证书后在其他电脑上同样可以下载到这个证书,或者和你同事同步此证书,则需要勾选使用appuploader服务同步。否则您需要手动管理p12文件在不同电脑之间的传输,并且一但创建下载后,无法在其他电脑下载,只能手动复制文件过去。一般情况下,推荐使用appuploader服务同步。证书类型说明IOS开发选择apple development或者ios app development 类型 ios 发布选择 apple distribution或者 ios distribution (app store and ad hoc) 开发推送证书选择 apple push notification service ssl (sandbox) 发布推送证书选择 apple push notification service ssl (sandbox & production)其他证书不是很常用,可以自行百度各种证书说明
  • [网络安全] 云安全平台检测到您当前的访问行为存在异常,请稍后重试
     云端打开税务平台网页出现安全防护检测异常访问。
  • 开启防勒索以后,杀SQL进程 是什么意思 ?大家有遇到的么?如下图
    开启防勒索以后,杀SQL进程 是什么意思 ?大家有遇到的么?如下图
  • [云运维] 如何修复EulerOS-SA-2021-2456漏洞
    如何下载最新的compat-openssl10版本
  • [技术干货] ESC嘲讽脸病毒解(勒索)杀毒思路
    今天突然接到一线工程师求助,客户反馈业务停机,无法正常使用。经过客户授权后联合OA厂商进行排查,发现ECS处于锁定状态。让本来今天摸鱼的我忙碌了起来。。。。。。先说结果,目前通过手动删除相关文件后客户的C盘数据没有被加密,数据盘目前无法进行验证(客户感觉分析时间较长直接通过备份回滚了)。如果客户没有备份,有需要提取相关数据,可以尝试这个方法。1、将客户中毒的机器关机,使用CBR按需 进行一次备份。(由于病毒锁定了系统内的所有进程,不关机无法完成备份)。2、按需计费发放一台windows 的ECS机器,将中毒机器的系统盘解绑,重新挂载到新的ECS上。3、具体排查过程比较复杂这里省略,,,各位就拿现成的就好了。客户环境描述:操作系统:windows 2012 R2。应用环境:某OA厂商软件。中毒表现:如下图(我称为嘲讽脸病毒,这个界面脸色的脸感觉一脸欠揍。QAQ)输入windows 账号密码后,弹出如下界面,所有操作无法进行,机器处于锁定状态。病毒文件描述:(共计11个) 1、类型:包含木马的压缩包文件 描述:包含至少 3 个木马程序 xmrig-6.18.0\xmrig.exe : Win64/Miner.Coinminer.H8oAJsYA xmrig-6.18.0\pool_mine_example.cmd : virus.js.qexvmc.2 xmrig-6.18.0\rtm_ghostrider_example.cmd : virus.js.qexvmc.1 位置:C:\Users\Administrator\Music\upx.pey.zip 2、类型:木马-Win64/Miner.Coinminer.H8oAJsYA 描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 文件路径:C:\Users\Administrator\Music\upx.pey\xmrig-6.18.0\xmrig.exe 文件大小:5.14M (5,389,312 字节) 文件版本:6.18.0 文件描述:XMRig miner 文件指纹(MD5):2a0d26b8b02bb2d17994d2a9a38d61db   3、类型:被感染文件-Virus.Win32.Synaptics.A 描述:通过感染系统内的各种文件进行传播,具有隐蔽性强、感染和破坏力大、自身不断变换更新等特点。 扫描引擎:启发式引擎 文件路径:C:\Users\Administrator\Music\xhv.win\xhv\cmd.exe 文件大小:1.06M (1,115,648 字节) 文件版本:1.0.0.4 文件描述:Synaptics Pointing Device Driver 文件指纹(MD5):3fdad0b0fdc266ca71d098abe3ca077f   4、类型:木马-Virus.Win32.Synaptics.A 描述:通过感染系统内的各种文件进行传播,具有隐蔽性强、感染和破坏力大、自身不断变换更新等特点。 文件路径:C:\Users\Administrator\Music\xhv.win\xhv\DefenderControl.exe 文件大小:1.54M (1,617,408 字节) 文件版本:1.0.0.4 文件描述:Synaptics Pointing Device Driver 文件指纹(MD5):73a411796f43520a1e3273bbc4ac36bd   5、类型:木马-Win64/Miner.Generic.HgEASlgA 描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 文件路径:C:\Users\Administrator\Music\xhv.win\xhv\Update.exe 文件大小:7.79M (8,170,496 字节) 文件版本: 文件描述:Update 文件指纹(MD5):0b941fa769356854be193c21c98d8b9e 6、类型:木马-Script/Miner.BitMiner.HhsASkwA 描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 文件路径:C:\Users\Administrator\Music\upx.pey\xmrig-6.18.0\rtm_ghostrider_example.cmd 文件大小:1.2K (1,215 字节) 文件指纹(MD5):9b7762432e3ab03dc49b1989ec7b8d1c 数字签名: 数字签名是否有效:无效 7、类型:木马-Script/Miner.BitCoinMiner.HhsASOQA 描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 文件路径:C:\Users\Administrator\Music\upx.pey\xmrig-6.18.0\start.cmd 文件大小:29B (29 字节) 文件指纹(MD5):6eb783bc229f92d0f8285500928ac8a1 数字签名: 数字签名是否有效:无效 8、类型:木马-Script/Miner.BitMiner.HhsASg0A 描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 文件路径:C:\Users\Administrator\Music\xhv.win\xhv\rtm_ghostrider_example.cmd 文件大小:1K (1,037 字节) 文件指纹(MD5):1ca0541052731bcd4f381d5572c4563c 数字签名: 数字签名是否有效:无效 9、类型:木马-Script/Miner.BitCoinMiner.HhsASOQA 描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 文件路径:C:\Users\Administrator\Music\xhv.win\xhv\start.cmd 文件大小:29B (29 字节) 文件指纹(MD5):6eb783bc229f92d0f8285500928ac8a1 数字签名: 数字签名是否有效:无效 10、类型:木马-Win32/Trojan.Generic.HwcBEpsA 描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 文件路径:C:\Windows\Logs\DISM\desktop locker\Desktop Locker.exe 文件大小:376.7K (385,712 字节) 文件指纹(MD5):32d21958d95f1a3e6051fd36807d31df 11、类型:包含木马的压缩包文件 描述:包含至少 1 个木马程序 Desktop Locker.exe : Win32/Trojan.Generic.HwcBEpsA 位置:C:\Users\Administrator\Music\desktop locker.zip 总结:建议客户的ECS在使用中不要裸奔,隐去3389端口,关闭443端口,使用华为云HSS(企业主机安全),定期进行备份避免悲剧的发生。
  • [主机安全] 华为云主机安全助力企业种出“金葫芦”
    还记得小学课本里“我要的是葫芦”的农夫么?“我要的是葫芦,虫子与我何干?”到了收获的时候,葫芦被蛀完了,农夫悔不当初。现实中企业也会陷入这样的境地,关注业务增长而忽视了风险的存在。到了业务变现的时候,业务成果被截胡拿走了,企业追悔莫及。世上没有“后悔药”,但有“预防药”和“杀虫药”。随着企业的数字化转型愈加深化,传统边界安全问题显露。网络环境中的主机安全资产盲点成倍增加,黑客入侵、数据泄露、恶意软件感染等威胁随之攀升,企业的数字资产安全面临风险和不确定性。且看华为云主机安全HSS 2.0, 如何“预防”和“杀虫”双管齐下,助力企业种出业务“金葫芦”。场景一:应用防护2021年12月,Apache Log4j2远程代码执行漏洞攻击爆发,全球有一大半的互联网企业都受到影响。根据国家信息安全漏洞共享平台的数据显示,平台每月都会披露发现的数百个高危漏洞,漏洞的风险不容小觑。华为云主机安全应用防护,利剑出鞘三合一◆ 资产指纹 全面梳理Web框架和中间件资产。当出现网爆存在问题的中间件,用户通过该功能即可快速了解当前是否使用该问题版本,并准确定位问题资产所处服务器和路径;◆ 漏洞管理 全面覆盖应用漏洞、Windows系统漏洞、Linux软件漏洞、Web-CMS漏洞;主机安全每日凌晨进行全面扫描,及时发现漏洞并提供一键修复功能,协助用户做好风险管理;◆ 应用防护 结合RASP防护技术,在运行时将探针注入到微服务的关键监控&保护点,探针根据预定义规则,结合通过保护点的数据以及上下文环境,识别入侵行为(如SQL注入、命令注入、XSS和反序列化注入等)和漏洞利用攻击(如Log4j漏洞),为微服务提供强大的入侵检测能力。场景二:勒索病毒防治根据国家互联网应急中心通报的信息,企业遭受勒索软件攻击事件层出不穷。攻击者会利用企业的某台设备接入互联网访问的网线,根据暴露在公网的漏洞,对该设备进行了暴力破解,破解成功后以该设备为跳板对内网进行横向渗透,并向多台服务器植入勒索软件。攻击者通过开放端口对服务器进行暴力破解的攻击行为十分频繁。一旦被勒索攻击,企业将同时面临经济损失、数据泄露、业务中断等问题。华为云主机安全勒索病毒防治,事前、事中、事后全面防护闭环第一步:事前风险识别◆ 资产指纹检测服务器开放端口等资产,漏洞管理识别系统和应用的漏洞问题,帮助用户快速识别服务器脆弱点。◆ 基线检查检测系统中的口令复杂度及经典弱口令,通过加强口令降低暴力破解的风险。第二步:事中主动防御◆ 入侵检测实时检测全盘新增文件及运行中的进程,隔离查杀已知勒索病毒,防止病毒扩散蔓延。◆ 勒索病毒防护动态部署诱饵检测异常加密行为,结合AI算法识别未知勒索文件,快速降低未知勒索病毒的误报率。第三步:事后备份恢复◆ 勒索病毒防护基于自定义策略定期对服务器进行备份,降低勒索病毒带来的损失。【小Tips】开启企业主机安全旗舰版/网页防篡改版防护后,您需要配置勒索防护的相关策略。华为云主机安全2.0版本通过更大的检测范围、更强的检测能力、更好的界面体验,助力企业打造“百毒不侵”“灵活应变”的主机安全防护体系。了解更多:企业主机安全 HSS特惠通道:安全与合规专场_企业主机安全2.1元/天起
  • [整体安全] 【云小课】安全第11课 SA基线检查---给云服务的一次全面“体检”
    关键词:华为云 态势感知 基线检查 全面体检 上云合规摘要:华为云态势感知(Situation Awareness,SA)是华为云安全管理与态势分析平台,能够检测出超过20大类的云上安全风险,利用大数据分析技术,为用户呈现出全局安全攻击态势。随着企业上云进程的加快,由于云服务配置不合理、不合规等引发的安全风险与日俱增。如果没有加以重视并做及时的诊断处置,将会对企业云上业务带来巨大的安全隐患。近期,华为云SA的云服务基线检查功能全面升级。它支持检测云服务(如IAM、OBS、ELB等)的身份认证、访问控制、日志审计等安全配置,可对云服务进行全面“体检”,第一时间了解云服务风险配置的所在范围和风险数目,并提供检测结果,针对存在的风险配置给出加固建议和帮助指导。帮助用户提前排除安全风险,保障云上业务的安全。Tips:云服务基线检查是指对云服务关键配置项进行检测,通过执行扫描任务,检查基线配置的风险状态,对存在安全隐患的配置进行处置。如同人体必要的健康检查一般,云服务基线检查是企业上云的关键环节。那么,如何判断云服务配置是否合规?怎样处理不合理配置?怎么开启云上风险全面“体检”呢?接下来,就跟随小课的脚步,三步教您通过华为云基线检查发现云服务风险配置项,对检查结果做响应处置,轻松满足安全合规~~~温馨提示:使用SA前,您需要购买SA戳这里步骤一:设置检查计划默认检查计划是每隔3天检查一次,每次在00:00~06:00进行检查。如果不使用默认计划,可以根据业务需求进行设置。1. 在基线检查页面,单击页面右上角的“设置检查计划”,进入检查计划设置页面。2. 单击“创建计划”,系统右侧弹出新建检查计划页面。3. 在弹出的新建检查计划页面,配置检查计划并单击“确定”。   SA会在指定的时间执行云服务基线扫描,扫描结果可以在“基线检查”中查看。----结束步骤二:执行检查计划检查计划设置后,系统将根据指定检查时间进行检测。同时,还支持立即执行检查计划。立即检查所有检查规范SA可根据您设置的检查规范,立即执行已配置的检查规范。提醒:“立即检查”任务在10分钟内仅能执行一次。在基线检查页面,单击页面右上角“立即检查”。     2.刷新页面,查看“最近检查时间”,即可确认是否为最新的扫描结果。立即执行某个检查计划SA可立即手动执行您设置的某个检查计划。配置后,系统将立即执行已选择的基线检查计划。提醒:手动立即执行“定期自动检查计划”在10分钟内仅能执行一次。在左侧导航栏选择“设置 > 检测设置”,进入检测设置页面。在待执行立即手动检查的检查计划所在栏的上方单击“立即检查”。系统将立即执行已选择的基线检查计划。步骤三:查看检查结果检查计划执行后,稍等片刻,即可在基线检查页面查看当前区域检测到的基线检查结果汇总数据。表1 检查结果总览参数名称参数说明检查规范数最近一次执行基线检查的检查规范数/检查规范总数。检查项最近一次执行基线检查中所有的检查项数目。检查项合格率最近一次执行基线检查的基线合格率。整体合格率=合格检查项数量/检查项总数。合格率的统计范围为全部规范的全部检查项目。检查项结果分为合格、不合格、检查失败和待检查几种。当检查为不合格和检查失败时,可在•查看“检查规范”详情、•查看“检查资源”详情、或•查看“检查结果”详情中查看具体情况以及处理方法。风险资源分布最近一次执行基线检查的风险资源分布情况以及风险资源的数量。风险等级分为:致命、高危、中危、低危、提示几个级别。可在•查看“检查规范”详情、•查看“检查资源”详情、或•查看“检查结果”详情中查看具体情况以及处理方法。 查看“检查规范”详情在基线检查页面,默认进入“检查规范”列表页面。检查规范页面会展示所有基线检查规范,包括检查项、检查状态、风险资源、描述,以及最近检查时间等信息。单击“查看详情”,可以跳转至对应检查项的详情页面。基线检查提供风险项检查的详情查询能力,对某个的检查项执行了检查动作后,检查状态、时间、风险等级、描述、检查过程一目了然,并且支持查看这一检查项所覆盖的资源名称、类型,检查结果等。云服务基线检查的全貌信息和细节展现都一览无余。查看“检查资源”详情在基线检查页面,选择“检查资源”页签。检查资源以列表形式聚合呈现所有的风险资源结果,并按照风险等级做降级排序,高优展示风险数目多,风险等级高的云上资源,便于您查看详情,根据指导建议做及时的响应处置。单击“查看详情”,可以跳转至对应资源的详情页面。针对某一检查资源,呈现该资源下所有检查项的列表明细,您可以根据聚合后的检查项,全面查看风险检查状态,再做对应的检查或者详情查看操作。查看“检查结果”详情在基线检查页面,选择“检查结果”页签。单击“查看详情”,可以跳转至对应检查项的检查结果详情页面。您可查看该检查项的检查状态、最近检查时间、检查方式、风险等级、检查描述及检查过程,还有相关资料为您提供响应处置的指导建议,还可以查看这一检查项所覆盖的资源名称、资源类型等聚合明细,可针对某一资源再进行对应的检查操作。正视云上配置不合规、不合理导致的“病情”,通过云服务基线检查“安全体检”及时排查隐患,防患于未然,治患于根本,才能轻松满足安全合规,为云上业务保驾护航!更多关于SA的功能,戳这里
  • [整体安全] 【云小课】| 安全第5课 不容错过!勒索病毒终结者——华为云HSS!
    勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。一旦遭受勒索病毒攻击,将会使绝大多数的关键文件被加密。被加密的关键文件均无法通过技术手段解密,用户将无法读取原本正常的文件,仅能通过向黑客缴纳高昂的赎金,换取对应的解密私钥才能将被加密的文件无损的还原。黑客通常要求通过数字货币支付赎金,一般无法溯源。如果企业的关键文件被加密,业务将受到严重影响;黑客索要高额赎金,也会带来直接的经济损失,因此,遭遇勒索病毒入侵危害巨大。面对勒索病毒的威胁,怎么才能克敌制胜?——选择华为云HSS无论黑客发起多么复杂的勒索病毒攻击,在网络中经历多少环节,采用多少高级技术,都是通过攻击某一个或多个主机完成的。因此,应对勒索病毒离不开对主机的安全防护。华为云HSS作为主机防护领域的领跑者,深耕主机安全管理,全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,全面保障您的主机不被勒索病毒侵害。云小课为您指引,如何使用HSS防勒索病毒?防勒索病毒是一个长期而持久的过程,华为云HSS事前(安全加固)、事中(主动防御)、事后(备份恢复)三部曲,为您抵挡勒索病毒入侵,营造主机资产安全运行环境。使用HSS前,您需要购买HSS防护配额,并开启主机防护;如果需要使用云服务器备份服务恢复数据,请在事前对服务器进行定时备份。事前:安全加固——强基固本,拦截入侵配置安全基线HSS每日凌晨自动检测系统中关键软件的配置风险并给出详细的加固方法。您可以根据给出的加固建议,正确处理主机内的各种风险配置信息。风险等级分为“高危”、“中危”和“低危”;建议您优先修复“威胁等级”为“高危”的关键配置,根据业务实际情况修复威胁等级为“中危”或“低危”的关键配置,忽略可信任的配置项;HSS支持检测的软件类型:Tomcat、SSH、Nginx、Redis、Apache 2、MySQL 5。步骤 1      进入“基线检查”页面,选择“配置检测”页签,查看配置检测详情,例如:SSH采用了不安全的加密算法。 步骤 2      进入配置风险详情页面,单击“检测详情”,您可以根据“审计描述”验证检测结果,根据“修改建议”处理主机中的异常信息,从而加固配置基线。步骤 3      完成配置项的修复后,建议您立即执行手动检测,查看配置项修复结果。如果您未进行手动验证,HSS会在次日凌晨执行自动验证。自动验证完成后,您可查看配置项修复结果。----结束加固弱密码HSS每日凌晨自动检测主机中使用的经典弱口令和您添加的自定义弱口令。您可以根据检测出的弱口令对应的弹性云服务器名称、账号名、账号类型和弱口令使用时长,加固弱密码。HSS支持检测MySQL、FTP及系统账号的弱口令。步骤 1      选择“安全 > 企业主机安全”,进入“基线检查”页面,加固弱密码。 步骤 2      进入“策略管理”页面,配置指定策略组的“弱口令检测”,添加自定义弱口令。步骤 3      完成弱密码加固后,建议您立即执行手动检测,查看弱密码加固结果。如果您未进行手动验证,HSS会在次日凌晨执行自动验证。自动验证完成后,您可查看弱密码加固结果。步骤 4      进入“告警通知”页面,勾选“弱口令”,一旦检测出弱口令,您将会收到告警通知。----结束修复漏洞HSS每日凌晨自动进行一次全面的检测,“漏洞管理”通过订阅官方更新,判断服务器上的补丁是否已经更新,并推送官方补丁,将结果上报至管理控制台,并为您提供漏洞告警。帮助您及时发现漏洞,并在不影响业务的情况下修复漏洞、更新补丁。漏洞修复紧急程度分为“需尽快修复”、“可延后修复”和“暂可不修复”;建议您优先修复“需尽快修复”的漏洞,根据业务实际情况修复“可延后修复”或“暂可不修复”的漏洞,忽略无需修复的漏洞。步骤 1      选择“安全 > 企业主机安全”,进入“漏洞管理”页面。步骤 2      选择“Linux软件漏洞管理”、“Windows系统漏洞管理”或者“Web-CMS漏洞管理”,一键漏洞修复或者根据“修复建议”进行手动修复漏洞。步骤 3      修复漏洞后,您可以单击“验证”,一键验证该漏洞是否已修复成功。若您未进行手动验证,主机防护每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复结果。步骤 4      进入“安装与配置 > 告警通知”页面,勾选“紧急漏洞”,HSS一旦检测出紧急漏洞(需尽快修复),您将会收到告警通知。----结束事中:主动防御——全面防御,无惧勒索手段一:病毒云查杀+使用智能学习策略防御勒索病毒(旗舰版)病毒云查杀HSS提供隔离查杀功能,将已感染主机迅速采取隔离措施防止病毒扩散蔓延。步骤 1      选择“安全 > 企业主机安全”,进入“事件管理”页面,查看并处理“恶意程序(云查杀)”告警事件。步骤 2      选择“隔离查杀”,一键查杀勒索病毒。选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。步骤 3      选择“安装与配置 > 告警通知”页面,勾选“恶意程序”实时告警通知,一旦检测出恶意程序,您将会收到告警通知。----结束使用智能学习策略防御勒索病毒HSS可有效监控您云主机上的勒索软件及进程的加密行为,并进行及时的阻断和查杀,对资产进行全面防护,有效保护您的文档和内容的安全,保障您的主机不被勒索病毒侵害。仅支持防御Windows系统勒索病毒。创建智能学习策略步骤 1      选择“安全 > 企业主机安全”,进入“勒索病毒防护”页面,选择“策略管理”,创建智能学习策略。步骤 2      配置智能学习策略“基本信息”。步骤 3      单击“添加服务器”,在弹出的“添加关联服务器”的窗口中,选择关联服务器。步骤 4      完成关联服务器添加后,单击“创建并学习”,自动对关联服务器进行智能学习,收集该策略下的所有服务器的正常进程行为数据,完成可信程序的判定。智能学习策略学习完成后,HSS将监控设置的“监控文件路径”,若发现非策略中的进程行为或者非可信程序的修改行为,及时触发告警。----结束处理告警事件 步骤 1      进入“勒索病毒防护”页面,在“事件管理”列表中,您可查看并处理告警事件。步骤 2      在弹出的处理事件窗口中,标记“可信”或者“不可信”。步骤 3      您可以对非策略中的进程行为,或者“不可信”的进程行为进行手动阻断,并隔离查杀。防止非策略中的进程行为,或者不可信的进程对文件的加密操作。----结束手段二:锁定文件防篡改(网页防篡改版)HSS可锁定驱动级文件目录、Web文件目录下的文件,禁止攻击者修改锁定的文件目录下的文件。若HSS检测到锁定目录下的文件被篡改,将立即使用本地主机备份文件自动恢复被非法篡改的文件。若本地主机上的文件目录和备份目录失效,可通过远端备份服务恢复被篡改的文件。若需要使用HSS锁定文件目录及备份,请开启网页防篡改防护。步骤 1      选择“安全 > 企业主机安全”,进入“网页防篡改 > 防护列表”页面,单击“防护设置”,进入防护设置页面。步骤 2      在“防护设置”页面,添加防护目录,并将文件进行本地备份。步骤 3      启动远端备份。HSS默认会将防护目录下的文件备份在“添加防护目录”时添加的本地备份路径下,为防止备份在本地的文件被攻击者破坏,请您启用远端备份功能。1.         进入“网页防篡改 > 安装与配置”页面,在“远端备份服务器”页面,添加远端备份服务器。2.         进入“网页防篡改 > 防护列表”,单击“防护设置”,进入防护设置页面,为防护目录启动远端备份。----结束事后:备份恢复——文件恢复,万无一失结合云服务器备份服务,当云服务器被勒索病毒侵害,存储在云服务器中的文件、数据丢失或者无法正常打开时,您可以通过重装服务器系统,并通过云服务器备份的数据恢复云服务器。步骤 1      选择“计算 > 弹性云服务器”,在待重装操作系统的弹性云服务器的操作列下,单击“更多 > 镜像/磁盘 > 重装操作系统”。 步骤 2      选择“存储 > 云服务器备份”,找到服务器所对应的备份,单击服务器所在行的“恢复”。恢复成功后,被勒索病毒攻击的文件可正常打开。----结束HSS除了勒索病毒防护,还有账户防暴力破解、网页防篡改、APT攻击检测等功能,赶紧戳这里,了解详情吧~~安全无小事,时刻需警惕。2020,华为云普惠云安全,为您的网站、主机、数据提供免费云体检,还有一站式过等保贴心指导,赶紧戳这里,了解详情吧!
  • [整体安全] 【云小课】| 安全第4课 暴力破解一切?华为云HSS防爆破“四重奏”!
    什么是“暴力破解”?暴力破解也可称为穷举法、枚举法,是一种比较流行的密码破译方法,攻击者通过系统地组合密码的所有可能性,尝试所有的可能性破解用户的密码信息,直到找出正确的密码为止。攻击者一旦成功登录主机,便可获得主机的控制权限,进而窃取用户数据、勒索加密、植入挖矿程序,DDoS木马攻击等恶意操作,严重危害主机的安全。如何防“暴力破解”?对于企业来说,暴力破解的防护措施只采用中规中矩且被动的安全防卫规则,通过规则判断是否属于暴力破解行为,无法从根本上解决账户暴力破解难题。对此,万众瞩目的华为云带着企业主机安全来了,为您主动出击,加固安全堡垒,防止账户暴力破解!HSS主动检测出主机中使用经典弱口令,提醒用户及时修改使用弱口令的账号,并加强口令复杂度,做到对账户破解的事前预防。同时,采用先进的快慢速暴力破解检测算法和全网情报,通过源IP+持续登录行为+连续尝试登录次数,判断源IP登录是否属于暴力破解行为,有效阻止账户暴力破解的攻击。此外,HSS还结合独家的双因子认证功能,对服务器登录进行二次身份认证,进一步加强账户安全;黑白名单控制IP登录,只允许白名单内的IP通过SSH登录到主机,拒绝白名单以外的IP登录主机。防爆破力度从弱到强,主动检测账户弱口令、主动拦截账户暴力破解行为、登录服务器二次身份认证、黑白名单控制IP登录,四管齐下,从此,面对账户暴力破解,不怕不怕啦!!跟着小课get华为云HSS如何防暴力破解吧~~使用HSS前,您需要购买HSS防护配额,并开启主机防护。第一重防护:主动检测账户弱口令弱口令/密码不归属于某一类漏洞,但其带来的安全隐患却不亚于任何一类漏洞。数据、程序都存储在系统中,若密码被破解,系统中的数据和程序将毫无安全可言。步骤 1      开启主机防护后,HSS每日凌晨自动检测主机中使用的经典弱口令。步骤 2      进入“策略管理”页面,配置指定策略组的“弱口令检测”,添加自定义弱口令。步骤 3      进入“告警通知”页面,勾选“弱口令”,一旦检测出弱口令,您将会收到告警通知。----结束第二重防护:主动拦截暴力破解行为HSS检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击。如果30秒内,账户暴力破解次数达到5次及以上,HSS就会拦截该源IP 24小时,禁止其再次登录,防止主机因账户破解被入侵。根据账户暴力破解告警详情,例如“攻击源IP”、“攻击类型”和“拦截次数”,您能够快速识别出该源IP是否为可信IP,如果为可信IP,您可以通过手动解除拦截的方式,解除拦截的可信IP。步骤 1      进入“账户暴力破解”页面,可查看已防护的服务器上的暴力破解拦截记录。步骤 2      进入“告警通知”页面,勾选“账户破解防护”,一旦检测出账户暴力破解,您将会收到告警通知。----结束第三重防护:登录服务器二次身份认证双因子认证功能是一种双因素身份验证机制,结合短信/邮箱验证码,对云服务器登录行为进行二次身份认证。Linux主机需要使用“密码”登录方式;开启双因子认证需要关闭Selinux防火墙;在Windows主机上,双因子认证功能可能会和“网防G01”软件、服务器版360安全卫士存在冲突,建议停止“网防G01”软件和服务器版360安全卫士;在Linux主机上,开启双因子认证后,不能通过云堡垒机登录主机。在“双因子认证”页面,勾选需要开启双因子的主机,单击“开启双因子认证”,开启双因子认证。第四重防护:黑白名单控制IP登录开启SSH登录IP白名单功能,只允许白名单内的IP通过SSH登录到主机,拒绝白名单以外的IP。该功能仅针对Linux主机,Windows主机不能开启SSH登录IP白名单功能。在“SSH登录IP白名单”页面,单击“添加白名单IP”。HSS除了账户防暴力破解,还有勒索病毒防御、网页防篡改、APT攻击检测等功能,赶紧戳这里,了解详情吧~~安全无小事,时刻需警惕。2020,华为云普惠云安全,为您的网站、主机、数据提供免费云体检,还有一站式过等保贴心指导,赶紧戳这里,了解详情吧!