YZUIM
1021738 賴孟昇
關閉Server Farm網段Internet連線
透過Firewall設定,阻斷server farm網段內的服務對外網路連線,一來可以防止網段內的服務瀏覽外部網頁而誤觸被植入惡意URL的廣告或網頁等,二來如果網段內的server感染勒索病毒,可以避免此服務對外連線下載病毒執行檔或取得加密金鑰。
SpamSherlock 阻擋病毒信件來源IP
由於勒索病毒常以大量的惡意郵件進行發送攻擊,為了避免大量惡意郵件進入公司,公司內部Spam server啟動附件壓縮檔掃毒,如果發現病毒郵件,針對此病毒郵件的發送來源IP,SpqmSherLock將會阻擋此IP一天內寄送給我們公司的所有郵件。
Spam Server的相關設定:
下表為Spam在2016/5/9~2016/5/13阻擋的28283 次病毒來源整理,來源阻擋扣除重複後剩餘1950筆,比例約7%,我們透過IP Address 查詢Location來自177個Country,發現前幾名為資安意識較弱的國家,懷疑這些國家內的電腦可能被當作發送惡意郵件的跳板, Top 20 如下:
下圖為2016/5/23 Spamsherlock阻擋ip source: 的通知信,被阻擋IP所發送的郵件中包含惡意Downloader:
本機群組原則新增軟體限制原則
為了避免勒索病毒執行檔下載進入LocalAppData暫存區並執行,因此我們在本機群組原則編輯器中[電腦設定] > [安全性設定] > [軟體限制原則] > [其他原則] 新增路徑規則: %LocalAppData%\*\*.exe ,並將安全性等級設為不允許,防止任何在路徑C:\Users\****\AppData\Local\Temp中的系統暫存exe執行檔被執行。
資安意識宣導
網路攻擊防不勝防,光靠資訊人員技術上的防護是不夠的,需要全公司員工一起努力預防才能將受病毒感染的機率降到更低,因此每週MIS部門都會發送病毒防範公告給各部門員工以提高員工的資訊安全意識。
下圖為公告部分內容截圖:
防毒軟體廠商合作
為了讓防毒軟體公司能更即時的將新形態勒索病毒列入防毒病毒碼中,只要公司內部有收到病毒郵件是當下防毒軟體無法識別的,我們會馬上將病毒檔壓縮後上傳至Microsoft /TrendMicro /Sophos / McAfee四家防毒軟體公司進行病毒檔的分析。
下表為各家廠商上傳位置:
