iT邦幫忙

2

公司server中“powershell無檔案病毒”

公司server中“powershell無檔案病毒”,有發現powershell指令控制cmd安裝wfreerdp.exe遠端連線程式,不停的在測試整個內網的電腦,電腦有裝防毒程式f-secure,也無法擋住,斷開powershell控制,過沒多久又在復發,因為這台server有裝powershell2.0版本,有發現電腦內還有被人安裝powershell1.0版本,懷疑是1.0版本在作怪,可是沒辦法移除,請問有大大遇過這種病毒攻擊嗎?請問有什麼方法可以解決?

2
raytracy
iT邦大神 1 級 ‧ 2019-11-19 20:17:24

天涯何處無芳草, 何必單戀一枝花, 防毒不是只有一種, 能擋得住的那種才適合貴公司, 請多嘗試各種不同的防毒軟體....試過 BitDefinder 嗎? 試過 Malwarebytes 嗎? 還有鼎鼎大名的 Win10 Windows Defender....啥? Windows Defender? 你沒聽錯, 他最近已經悄悄躍升到防毒的優等生了...

對了, 免費版通常沒啥用, 就別去試了, 記得要買商業版....
(或者, 商業版付錢之前的全功能試用版也還可以)....

還有, 防駭不能只依賴防毒, 系統本身的漏洞就要先補好, 最新的 Update 都要全部上完, 之後加上防毒才能有功效; 漏洞都沒補, Update也不上, 光想靠防毒來擋, 那就只剩下公笑.....

11項強固措施:
The Windows Server Hardening Checklist

Windows Server強固:
Windows Server Hardening Checklist

有人寫了中文的, 但不代表這樣就夠了:
資安動手做系列 第 5 篇: Server Hardening Checklist

看更多先前的回應...收起先前的回應...
ponton iT邦新手 5 級 ‧ 2019-11-19 20:34:19 檢舉

公司的防毒是企業版的不是免費跟破解的,想問問有沒有什麼方法可以解決

永遠要記得一件事,防毒只是預防性。不代表永遠沒病。
我之前公司的server從來不裝防毒的。
但程式、應用。還有用戶的使用權大多數都是鎖住的。
本身server也是不對外連線。只提供特定的port處理。一直相安無事。
其實我是做到了 raytracy大神說的最後一條。再加上一些安全防護。
只是我少了防毒安裝這件事。

raytracy iT邦大神 1 級 ‧ 2019-11-20 09:43:22 檢舉

ponton
如果防毒已經不敷使用, 想要看到更多威脅活動的話, 可以考慮導入 EDR:

企業用戶觀點:
利用 EDR 和 MDR 逮住躲在網路暗處的竊賊

自動化EDR偵測與防禦 強化資安威脅能見度

您需要 EDR 的五大原因

臺灣EDR崛起

(或者各位專家也可以提供更多建議)

還是要提醒一下, 防禦不是只有防毒一種手段, 有很多其他的方法可以用, 前提是你整個環境的安全框架要先建立, 甚至不需要依賴外來的工具, 也可以做到很高層級的防禦, 如浩瀚星空 所述, 我自己的伺服器也有很多沒安裝防毒軟體, 只依賴安全指引調整內建設定來做強固, 或搭配 HIDS/NIDS 警戒....

我曾經管理過的伺服器超過 150 台以上,
花在買防毒軟體的錢每年不超過萬元,
已經持續 20 年沒中過外來的病毒了....

(當然, 我不會鐵齒的說: 以後也永遠不會中....
...世上沒有100%的安全, 隨時警戒才最重要)

其實我一直認為server裝防毒是一件很奇怪的事。不知道有沒有人覺得我這樣的想法很奇怪。

系統及服務應用完成後。就放在那邊沒動了。空間也額外區分出來不做運行處理。

我常常都會有一種,裝了防毒更會中毒的感覺。很奇怪的想法吧。

我跟浩瀚兄的想法相同,我沒在任何伺服器上安裝防毒軟體,我只會做系統更新,還有只開啟會用到的端口,如80、443,25、119出去,不要使用弱管理密碼,如ewqszxc、aa12345、x-admin這種,這樣一來也能避開大部份的問題,不然防毒根本是在補破網,沒啥鳥用

0
bluegrass
iT邦研究生 1 級 ‧ 2019-11-19 21:17:05

這些只靠防毒和PATCH是沒有卵用的.

去考慮一下 CHECKPOINT的SANDBLAST / PALOALTO的TRAPS 吧.

0
tyudfg1682
iT邦新手 3 級 ‧ 2019-11-20 18:36:50

請先更新上3.0以上的Powershell版本,把Powershell 2.0還有1.0移除

如果沒有用Powershell部屬後端服務的話,

就把Powershell執行原則固定在簽章後才能執行,

再把Powershell的語言模式改成約束模式或者無語言模式

以防惡意程式再利用Powershell做無檔案攻擊

2
mytiny
iT邦大師 1 級 ‧ 2019-11-21 09:53:50

在下也比較贊同 raytracy大 的觀點
基本的Server管理與防護應當完善
如果防毒已經不敷使用,應該考慮其他手段

綜觀樓主之前提問得知
公司大部採用FortiGate防火牆,只是新舊不一
同時是否Client端與Server的通訊並無任何IPS檢核?
在此前提之下,可以考慮採用Fortinet資安鐵三角
簡單的說,樓主需要的至少是將Server網段隔離
讓所有進出Server主機的流量都經過FortiGate做IPS/AV的檢核
如果運用FortiSwitch與Fortigate的結合
可以定義Switch Port接Server網段的設備流量
都經過Fortigate做防毒防駭的安全檢核
以上建議供您參考

我要發表回答

立即登入回答