功能说明:
火绒产品(个人版、企业版)正式上线"漏洞攻击拦截"功能模块,这是火绒产品针对系统漏洞(未打补丁的情况下)的重要防御功能,请大家尽快升级、重启,完成新功能启用。
针对严重威胁用户的远程类漏洞,该模块从网络数据层面分析并识别漏洞攻击模型(譬如:永恒之蓝的SMB协议漏洞),在攻击数据进入系统漏洞之前进行拦截,从而在系统没有打漏洞补丁的情况,完成安全热补,阻止勒索软件、黑客渗透程序等高危威胁的入侵,并记录攻击发起者IP地址信息,方便进行攻击溯源。
主要作用:
1、阻止通过系统漏洞传播的勒索病毒、黑客渗透等高危威胁入侵,以及其他新老病毒;
2、记录攻击发起者IP地址,方便进行攻击溯源,采取相应的隔离、查杀等措施;
适用系统:
Windows7及以上系统
适用用户及场景:
1、因为各种原因,没有及时修复漏洞的个人用户,以及机构(政府、企业、学校、医院等)局域网用户;
2、内外网隔离环境下,系统无法顺利更新补丁的内网电脑和服务器;
3、服务器需要保持正常运维,无法频繁停机重启,不能及时更新漏洞补丁;
4、局域网内有电脑被病毒感染,并且作为感染源向其他电脑传播病毒,屡杀不绝;
5、网管无法获取攻击发起者IP地址,找不到攻击源头,无法采取相应措施。
攻击环境分析:
1、机构(政府、企业、学校、医院等)局域网用户
病毒、攻击者成功地攻击个人用户电脑(1.钓鱼攻击2.脱离局域网时被攻击等等)后,利用局域网环境迅速在机构内部传播开。
2、企业用户DMZ(Demilitarizedzone)
病毒、攻击者通过攻击DMZ中暴露在互联网上的服务器进入企业内部。
3、运营商机房
病毒、攻击者通过攻陷机房内的一台托管服务器(SQL注入等其它漏洞形式)后,利用机房大量服务器在一个网段、未有效隔离端口等环境迅速在机房内传播开。
被攻击的现象感知:
1、CPU占用高、机器发热、性能下降
目前各种挖矿病毒,利用"漏洞"传播,利用用户电脑攫取利益。
2、系统无故蓝屏
许多攻击者利用"永恒之蓝"等漏洞的攻击工具,该工具构造的攻击包不是很完善,有时会造成被攻击电脑直接蓝屏。
3、文件被加密勒索
勒索病毒不断变种(躲避查杀),90%以上是通过漏洞进入用户电脑,加密用户文件勒索钱财。
4、局域网内病毒屡杀不绝
某些电脑的系统漏洞没打补丁,会在局域网内反复被病毒感染,屡杀不绝,并且难以发现攻击源头。
功能开启方法:
"漏洞攻击拦截"模块内嵌在火绒产品的"黑客入侵拦截"功能中,火绒用户将产品升级到最新版并重启电脑,该功能即被启用。
非火绒用户,进入官网下载个人版"火绒安全软件"(https://www.huorong.cn/prod.html),或企业版"火绒终端安全管理系统"(https://www.huorong.cn/essmgr/essreg),正常安装、升级即可启用该功能("黑客入侵拦截"模块是默认开启的)。
拦截表现:
当该功能拦截、阻止通过漏洞入侵的勒索病毒等威胁时,软件托盘处会有红色亮点开始闪烁,将鼠标移到该图标上,即可看到详细的拦截数据(攻击者IP、漏洞名称、触发时间等)。
欢迎广大用户体验"漏洞攻击拦截"功能,您在使用中有什么意见或者建议,可随时和火绒官方人员反映,以便我们改进产品,更好地为您服务。
火绒安全团队
2018年4月19日
……