Incaseformat病毒检测防护建议

综述

2021 年 1 月 13 日,绿盟科技应急响应团队接到全国多个客户反馈感染所谓的 incaseformat 病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相 关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录下 均存在名为 incaseformat.log 的空文件,因此网络上将此病毒命名为 incaseformat。

病毒概述

从搜索引擎结果来看,该病毒最早出现时间为 2009 年,主流杀毒软件厂商均将此病毒命 名为 Worm.Win32.Autorun,从名称可以判断该病毒为 Windows 平台通过移动介质传播的病毒。

病毒在非系统盘运行时会将自身复制到Windows目录下,将自身图标伪装成文件夹并且修改注册表实现自启动。该目录下的病毒会在主机重启后运行,随后遍历所有非系统分区下的目录并且设置为隐藏,并且创建同名的病毒文件,此外还会通过修改注册表,实现不显示隐藏文件及隐藏已知文件类型扩展名。最后对非系统分区下所有文件执行删除操作,并创建 incaseformat.log 文件。

检测防护建议

绿盟科技已发布处置建议:https://blog.nsfocus.net/incaseformat/

同时,绿盟科技产品为客户提供有效的检测和防护能力。

  • 绿盟科技终端安全 UES

绿盟统一终端安全 UES 是集病毒查杀,EDR,终端管理等一体化终端安全产品。通过部署绿盟 UES 产品,全方位对已知恶意文件,未知恶意程序进行安全检测,加强企业内网安全监测与防范。

针对此次事件,UES提供如下检测防护配置建议:

1. 安全团队已将 incaseformat 病毒列为活跃性病毒,管理员及时开启 EDR 检测策略, 重点监测,及时响应。

2. 管理员可通过攻击诱饵配置,以捕获 incaseformat 病毒及其可能的变种,一旦发现恶 意删除行为,则及时进行阻断,最大限度的降低用户损失。

3. 管理员可通过配置终端启动项防护,U 盘诊断,恶意软件等策略最高层面上防护内 网用户主机发生类似事件。

  • 绿盟科技智能安全运营平台 ISOP

绿盟智能安全平台ISOP是一款智能的安全运营中心产品,能够接入各类安全日志,并智能识别其中的威胁,并提供自动化响应动作。

针对此次事件,对于接入了终端ues日志的平台,可以通过平台威胁管理-智能搜索页面,根据以下方式检测是否受次威胁影响,并定位受影响资产:

  1. 基于样本hash的检索
    sample_file_md5:”1071d6d497a10cef44db396c07ccde65″ OR file_md5:”1071d6d497a10cef44db396c07ccde65″ OR sample_file_md5:”4B982FE1558576B420589FAA9D55E81A” OR file_md5:”4B982FE1558576B420589FAA9D55E81A” OR sample_file_sha256:”8c8793eb7c80a09e1542e424ea89c23c195d364892620562e06b3df602890929″ OR sample_file_sha1:”71aa3a0af1eda821a1deddf616841c14c3bbd2e3″
  2. 基于进程特征
    process_path: “ttry.exe” OR process_path: “tsay.exe”
  3. 基于注册表项的值特征
    old_value:”C:\\windows\\tsay.exe” OR old_value:”C:\\windows\\ttry.exe” OR new_value:”C:\\windows\\tsay.exe” OR new_value:”C:\\windows\\ttry.exe”
  4. 基于注册表路径特征
    registry_path:”\\RunOnce\\” AND registry_name:”msfsa”

如果定位到受影响资产,请及时去资产上排查。

  • 绿盟科技远程安全评估系统 RSAS

绿盟远程安全评估系统 RSAS是结合了多年漏洞挖掘和安全服务实践经验的新一代漏洞管理产品,可以高效、全方位的检测主机中的脆弱性风险,提供专业、有效的安全分析和修补建议。

针对本次事件,RSAS已发布系统插件升级包,用户升级至最新版本(V6.0R02F01.2101)即可对该病毒进行检测。

http://update.nsfocus.com/update/listRsasDetail/v/vulsys

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

绿盟科技集团股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

绿盟科技集团股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:绿盟科技,股票代码:300369。

Spread the word. Share this post!

Meet The Author

Leave Comment