《我是超級工具人》24-當敵人攻到城下

當槍抵在頭部時
才會後悔當初怎麼沒有想到要防止這樣的事態發生
當大軍打到城下
才會知道自己的堡壘有多麼不堪一擊

2015年卡巴斯基揭露史上最複雜的網路間諜:方程式組織
它隸屬美國國安局特定入侵辦公室,專門利用間諜軟體與零日漏洞入侵設備
思科、微軟、Fortinet、任何國家、任何角落都逃不過國安局的魔掌
擁有最先進的攻擊平台與植入韌體的惡意程式,使用各式各樣的加密演算法來躲避偵測

2016年夏天,影子掮客駭入美國國安局,把這些武器偷了出來,賣是沒賣多少錢,最後倒是免費釋放,除了造成全世界混亂、更造成日後的駭客攻擊開始集中在國家層面。而當國家駭客、國安局武器庫、再加上勒索病毒,三個東西混在一起就可以讓我們見到世界末日
很多企業為了不影響軟體的運作,除了會關閉電腦上的防火牆外,也不會安裝防毒軟體,除了可用性有達到外,安全性可說是爛得一匹,這也是我剛來兩年時的公司內部架構。這樣的漏洞造成了接下來要講的兩個重大事件:橫向移動、Phobos勒索病毒

剛來的時候公司用McAfee
這款一開始只有防毒引擎virusscan
沒有其他防護,如行為分析、入侵偵測等NGAV功能
光這個小引擎,常常發生可以偵測、但無法移除的情況
又因為會阻擋BI派報沒有裝在伺服器上
所以只好用這樣的說法和公司提伺服器端換ESET試試
雖然最後過了,防毒也裝了,但是ESET和McAfee都有一個缺點,就是對無檔案病毒的清除能力非常差,面對NSA網路武器更是束手無策
這也是為何去年換會換成卡巴斯基,在文章中也多次引用卡巴斯基的觀點。在俄羅斯聯邦安全局助力下,對於複雜威脅的清除力,新威脅的反應能力,與找出未知威脅的能力都處於世界頂尖

還記得那天是中秋節公司晚上聚餐
吃得飽飽、長了三層肥肉回來抱老婆打滾
隔天假日照慣例登入公司後台看看有沒有異狀
不看不知道,一看嚇一跳
ERP主機每隔五分鐘就上一個網站下載惡意程式,ESET可以偵測,但是無法移除

「又有事情做了…」
一邊祈禱沒事,一邊查看下載網址,以及到自己電腦載了可疑程式後上傳virustotal
心涼了一半,是勒索病毒
「幸好有被ESET偵測阻擋。」心裡這麼想,現在也管不了到底是從哪裡溜進來的
因為無法移除,查看工作管理員還有開機啟動項,把可疑進程刪除,然後去載我始終信任的卡巴斯基惡意軟體移除程式
第一次掃描時抓到記憶體病毒,進入進階解讀技術後重啟,再重新掃描一遍就沒問題了
全程邊冒冷汗,邊重開主機,希望不要重開後出現你的檔案已被加密
從那次之後,在伺服器設定每天晚上八點固定掃描電腦已經成為工作
但是卡巴斯基的強悍也再度吸引了我
然而McAfee是以前老闆朋友,加上前資訊都不想換的情況下導入
和工程師關係也不錯,合約更沒有到期,就繼續加減用吧
ESET則是繼續續約,但是把卡巴斯基當作搶救工具

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料