2、服务器B中执行GlobeImposter样本
时间:2022-03-27 09:30:01 | 来源:行业动态
时间:2022-03-27 09:30:01 来源:行业动态
服务器B部署SSR客户端,并开启了主动防御功能,其他功能暂不开启,主要验证主动防御功能是否可阻止GlobeImposter发作。
在服务器B中执行GlobeImposter样本,暂时未发现异常。查看任务管理器,发现GlobeImposter.exe已经执行,但桌面上的text.txt被未被加密,也未产生生成勒索文件信息Read_ME.html。
SSR集中管理平台中主动防御功能监控界面的拦截日志显示,SSR主动防御功能拦截了GlobeImposter.exe在temp目录中创建system.dll文件(勒索软件的变种不同,释放的dll可能不同)。这主要是因为主动防御功能内置了相应的安全策略禁止在系统目录C盘中创新任何dll动态库,该策略可阻止勒索软件启动时在系统目录释放可执行文件和动态库,防止其后续的加密操作。
此外,SSR主动防御功能还内置多种安全策略,可阻止非授权在系统目录中创建如exe、dll、com、sys等后缀的可执行文件,保证系统不被恶意代码攻击。如果客户服务器除了C盘还有其他盘,建议配合应用程序管控一起使用,这将有更好的防护效果。
在线咨询
