重点防范!官方最新通报一批恶意网址和高危漏洞
2024-11-26 08:2:0 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

近期,中国国家网络与信息安全信息通报中心持续发现一批境外恶意网址和恶意IP,有多个具有某大国政府背景的境外黑客组织,利用这些网址和IP持续对中国和其他国家发起网络攻击。

这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、网络钓鱼、勒索病毒等,以达到窃取商业秘密和知识产权、侵犯公民个人信息等目的,对中国国内联网单位和互联网用户构成重大威胁,部分活动已涉嫌刑事犯罪。相关恶意网址和恶意IP归属地主要涉及:美国、波兰、荷兰、保加利亚、土耳其、日本等。

恶意地址信息

1

恶意地址:209.141.42.202

归属地:美国/内华达州/拉斯维加斯

威胁类型:僵尸网络

病毒家族:gafgyt

描述:这是一种基于因特网中继聊天(IRC)协议的物联网僵尸网络病毒,主要通过漏洞利用和内置的用户名、密码字典进行Telnet和SSH暴力破解等方式进行扩散传播。可对网络设备进行扫描,攻击网络摄像机、路由器等IoT设备,攻击成功后,利用僵尸程序形成僵尸网络,对目标网络系统发起分布式拒绝服务(DDoS)攻击,可能造成大面积网络瘫痪。

2

恶意地址:octopus1337.geek

关联IP地址:107.172.60.29  

归属地:美国/纽约州/布法罗

威胁类型:僵尸网络

病毒家族:moobot

描述:这是一种Mirai僵尸网络的变种,常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等实施入侵,攻击成功后,受害设备将下载并执行MooBot的二进制文件,进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

3

恶意地址:

pruebadenuevonuevo202024202024.

duckdns.org

关联IP地址:64.188.9.175

归属地:美国/加利福尼亚州/洛杉矶

威胁类型:后门

病毒家族:AsyncRAT

描述:该恶意地址关联多个Asyncrat病毒家族样本,部分样本的MD5值为3a7348be6baacfca9ce6e475b5a6984e。相关后门程序采用C#语言编写,主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式shell,以及访问特定URL等。这些病毒可通过移动存储介质、网络钓鱼邮件等方式进行传播,现已发现多个关联变种,部分变种主要针对中国境内民生领域的重要联网系统。

4

恶意地址:mixturehari.store

关联IP地址:172.67.129.11  

归属地:美国/加利福尼亚州/旧金山

威胁类型:窃密木马

病毒家族:Lumma

描述:该恶意地址关联多个Lumma病毒家族样本,部分样本程序的MD5值为a9f56735038056c6fb51f7408d1e007c。Lumma是一种盗号木马即信息窃取恶意软件,主要用于窃取用户的敏感信息,包括登录凭据、财务信息和个人文件等。这种恶意软件通过网络钓鱼邮件、虚假软件下载链接等多种方式传播。

5

恶意地址:dump.hduak.site

关联IP地址:158.220.114.75 

归属地:德国/北莱茵-威斯特法伦州/杜塞尔多

威胁类型:僵尸网络

病毒家族:mirai

描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散,入侵成功后可对目标网络系统发起分布式拒绝服务(DDoS)攻击。

6

恶意地址:doddyfire.linkpc.net

关联IP地址:216.65.162.133   

归属地:加拿大/新不伦瑞克省/伍德斯托克

威胁类型:后门

病毒家族:NjRAT

描述:该恶意地址关联到NjRAT病毒家族样本,部分样本程序的MD5值为07cc00b38182b987fa4cf53760d6732c。该网络后门是一种由 C#编写的远程访问木马,具备屏幕监控、键盘记录、密码窃取、文件管理(上传、下载、删除、重命名文件)、进程管理(启动或终止进程)、远程激活摄像头、交互式 Shell(远程命令执行)、访问特定 URL 及其它多种恶意控制功能,通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播,用于非法监控、数据窃取和远程控制受害者计算机。

7

恶意地址:bueenotgay.duckdns.org

关联IP地址:217.15.161.176

归属地:新加坡

威胁类型:僵尸网络

病毒家族:moobot

描述:这是一种Mirai僵尸网络的变种,常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等实施入侵,攻击成功后,受害设备将下载并执行MooBot的二进制文件,进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

8

恶意地址:147.45.126.71

归属地:芬兰/新地区/赫尔辛基

威胁类型:后门

病毒家族:DcRat

描述:该恶意地址关联到多个DcRat病毒家族样本,部分样本程序MD5值为6195bc34ba803cfe39d32856f6dc9546。该网络后门是一种远程访问木马,最早于2018年发布,能够窃取用户隐私信息(系统信息、账号信息等),根据远程指令执行多种功能:shell命令、截图、记录键盘、窃取cookie、数据上传、操纵剪贴版、删除目录、设置壁纸、发起DDoS攻击等。

9

恶意地址:ygo9u1fkwux.life

关联IP地址:37.27.203.12

归属地:芬兰/新地区/赫尔辛基

威胁类型:加载器

病毒家族:Bumblebee

描述:该恶意地址关联多个Bumblebee病毒家族样本,部分样本程序MD5值为c962d866683ba35349a00a70e9c759b4。Bumblebee是一种复杂的恶意软件家族,首次由Google威胁分析小组(TAG)在 2022 年 3 月披露。它主要作为一种加载器(Loader)使用,能够下载和执行其它恶意软件负载。Bumblebee通常通过钓鱼邮件传播,附件中常包含ISO镜像文件,内含用于执行恶意DLL文件的LNK文件。

10

恶意地址:45.88.88.43

归属地:保加利亚

威胁类型:僵尸网络

病毒家族:catddos

描述:Catddos病毒家族主要通过IoT设备的N-Day漏洞进行传播,已公开样本包括CVE-2023-46604、CVE-2021-22205等,该恶意地址是相关病毒家族近期有效活跃的回连地址。

11

恶意地址:j.foxnointel.ru

关联IP地址:172.235.51.77  

归属地:美国/加利福尼亚州/洛杉矶

威胁类型:僵尸网络

病毒家族:fodcha

描述:这是一种DDoS僵尸网络木马,通过N-Day漏洞和Telnet、SSH弱口令进行传播。攻击者可控制被感染的“肉鸡”(联网终端)对互联网上的其它系统或设备发起DDoS攻击,导致关键信息基础设施或重要网络应用瘫痪,干扰破坏国计民生和社会公共秩序。

12

恶意地址:a.foxnointel.ru

关联IP地址:92.223.30.136  

归属地:美国/加利福尼亚州/洛杉矶

威胁类型:僵尸网络

病毒家族:fodcha

描述:这是一种DDoS僵尸网络木马,通过N-Day漏洞和Telnet、SSH弱口令进行传播。攻击者可控制被感染的“肉鸡”(联网终端)对互联网上的其它系统或设备发起DDoS攻击,导致关键信息基础设施或重要网络应用瘫痪,干扰破坏国计民生和社会公共秩序。

13

恶意地址:93.157.106.238

归属地:保加利亚/索非亚州/索非亚

威胁类型:僵尸网络

病毒家族:mirai

描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散,入侵成功后可对目标网络系统发起分布式拒绝服务(DDos)攻击。

14

恶意地址:LOADINGBOATS.DYN

关联IP地址:89.36.160.67  

归属地:波兰/马佐夫舍省/华沙

威胁类型:僵尸网络

病毒家族:catddos

描述:Catddos病毒家族主要通过IoT设备的N-Day漏洞进行传播,已公开样本包括CVE-2023-46604、CVE-2021-22205等,该恶意地址是相关病毒家族近期有效活跃的回连地址。

15

恶意地址:95.214.27.194

归属地:荷兰/北荷兰省/阿姆斯特丹

威胁类型:僵尸网络

病毒家族:moobot

描述:这是一种Mirai僵尸网络的变种,常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵,攻击者在成功入侵设备后将下载MooBot的二进制文件并执行,进而组建僵尸网络并可能发起分布式拒绝服务(DDos)攻击。

16

恶意地址:dovahnoh1.duckdns.org

关联IP地址:88.227.180.194   

归属地:土耳其/阿达纳省/塞伊汉

威胁类型:网络后门

病毒家族:Asyncrat

描述:该恶意地址关联多个Asyncrat病毒家族样本,部分样本的MD5值为0afe92d70093444605979eafa2afca4d和24d5b4b63fe3f30c9a399f0c76196104。该网络后门采用C#语言编写,主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL,以及访问特定URL等。该木马通过移动介质、网络钓鱼等方式进行传播,现已发现多个关联变种,部分变种主要针对民生领域的联网系统。

17

恶意地址:134.122.138.230:7021

归属地:日本/东京都/东京

威胁类型:网络后门

病毒家族:SilverFox

描述:该恶意地址关联SilverFox病毒家族样本,其MD5值为bfc4b93fade57ead4fa15d37aef94760,相关样本通过钓鱼邮件进行传播,经变种伪装成企业内部应用软件诱骗用户下载点击。    

排查方法

(一)详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录,查看是否有以上恶意地址连接记录,如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

(二)在本单位应用系统中部署网络流量检测设备进行流量数据分析,追踪与上述网络和IP发起通信的设备网上活动痕迹。

(三)如果能够成功定位到遭受攻击的联网设备,可主动对这些设备进行勘验取证,进而组织技术分析。

处置建议

(一)对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕,重点关注其中来源未知或不可信的情况,不要轻易信任或打开相关文件。

(二)及时在威胁情报产品或网络出口防护设备中更新规则,坚决拦截以上恶意网址和恶意IP的访问。

(三)向有关部门及时报告,配合开展现场调查和技术溯源。

高危漏洞是网络系统可能被黑客利用以进行非法访问、数据窃取或系统破坏的严重安全缺陷。每一个操作系统、网络应用都可能存在这样的漏洞。这些漏洞一旦被恶意利用,将给网络系统带来极大的安全风险,可能影响网络系统的正常运行,甚至给网络运营者造成经济财产损失。因此,及时发现并修复高危漏洞是保障网络安全的重要措施。

公安机关网安部门从危害程度、广泛性、漏洞利用形式、利用难度、检测难度等维度梳理出了100个突出的高危漏洞,并提出了重点防护建议。广大网络运营者应对照排查自己的网络系统是否存在相关漏洞,及时修补,降低被利用的风险。

序号

漏洞名称

漏洞编号

漏洞危害

1

Apache Log4j2远程代码执行漏洞

CVE-2021-44228

可直接远程控制相关服务器

2

Alibaba Nacos User-Agent 鉴权绕过漏洞

CVE-2021-29441

可直接绕过认证机制获取敏感数据

3

Oracle WebLogic Server远程代码执行漏洞

CVE-2020-2884

可直接远程控制相关服务器

4

Apache Shiro 默认密钥致命令执行漏洞

CVE-2016-4437

可直接远程控制相关服务器

5

Spring Cloud Gateway spel 远程代码执行漏洞

CVE-2022-22947

可直接远程控制相关服务器

6

Atlassian Confluence远程代码执行漏洞

CVE-2022-26134

可直接远程控制相关服务器

7

GitLab /uploads/user 远程命令执行漏洞

CVE-2021-22205

可直接远程控制相关服务器

8

Gitlabissuemarkdown目录遍历漏洞

CVE-2020-10977

可以通过读取任意文件获取敏感信息

9

Apache Struts 代码执行漏洞

CVE-2023-50164

可直接远程控制相关服务器

10

redis未授权访问漏洞

CNVD-2015-07557

可直接绕过认证机制获取敏感数据

11

Elasticsearch Kibana 命令注入漏洞

CVE-2019-7609

可直接远程控制相关服务器

12

Adobe ColdFusion 反序列化漏洞

CVE-2017-3066

可直接远程控制相关服务器

13

IIS6 WebDav 远程命令执行漏洞

CVE-2017-7269

可直接远程控制相关服务器

14

Apache ActiveMQ 远程代码执行漏洞

CVE-2023-46604

可直接远程控制相关服务器

15

Windows打印后台处理程序远程执行代码漏洞

CVE-2021-34527

可直接远程控制相关服务器

16

F5 BIG-IP /tmui/login.jsp 远程代码执行漏洞

CVE-2020-5902

可直接远程控制相关服务器

17

Fortigate SSL VPN路径遍历漏洞

CVE-2018-13379

可访问任意的文件获取敏感数据

18

Citrix ADC远程代码执行漏洞

CVE-2019-19781

可直接远程控制相关服务器

19

Microsoft Exchange Server认证绕过漏洞

CVE-2021-26857

可直接绕过认证机制获取敏感数据

20

Drupal geddon2 远程代码执行漏洞

CVE-2018-7600

可直接远程控制相关服务器

21

泛微E-Office9 文件上传漏洞

CVE-2023-2523

可直接远程控制相关服务器

22

海康威视IP Camera身份认证绕过漏洞

CVE-2017-7921

可直接绕过认证机制获取敏感数据

23

畅捷通T+ Upload.aspx 任意文件上传漏洞

CNVD-2022-60632

可直接远程控制相关服务器

24

禅道项目管理系统 misc-captcha-user.html 权限绕过&远程命令执行漏洞

CNVD-2023-02709

可直接远程控制相关服务器

25

宏景人力资源信息管理系统 /servlet/codesettree SQL注入漏洞

CNVD-2023-08743

可执行任意SQL命令获取敏感数据

26

泛微e-cology9 SQL注入漏洞

CNVD-2023-12632

可执行任意SQL命令获取敏感数据

27

MinIO未授权信息泄露漏洞

CVE-2023-28432

可直接访问未授权接口获取敏感信息

28

Elasticsearch Groovy Scripting Engine Sandbox 安全绕过漏洞

CVE-2015-1427

可直接远程控制相关服务器

29

WordPress WPLiveChat SupportPro插件代码问题漏洞

CVE-2019-11185

可直接远程控制相关服务器

30

Apache ActiveMQ Jolokia 代码执行漏洞

CVE-2022-41678

可直接远程控制相关服务器

31

Atlassian Confluence Data Center&Server 权限提升漏洞

CVE-2023-22515

可导致低权限用户提升权限并执行管理操作

32

Memcached SASL身份验证安全绕过漏洞

CVE-2013-7239

可直接绕过认证机制获取敏感数据

33

WordPress SnapCreek Duplicator和Duplicator Pro路径遍历漏洞

CVE-2020-11738

可访问任意的文件获取敏感数据

34

QNAP Systems QTS 和 QuTS hero SQL注入漏洞

CVE-2022-27596

可执行任意SQL命令获取敏感数据

35

GitLab CE and EE不正确访问控制漏洞

CVE-2019-20148

可直接访问未授权接口获取敏感信息

36

Citrix ADC & Citrix Gateway远程代码执行漏洞

CVE-2023-3519

可直接远程控制相关服务器

37

Apache RocketMQ NameServer 远程命令执行漏洞

CVE-2023-37582

可直接远程控制相关服务器

38

GitLab信息泄露漏洞

CVE-2020-26413

可直接访问未授权接口获取敏感信息

39

Atlassian Confluence远程代码执行漏洞

CVE-2023-22522

可直接远程控制相关服务器

40

ThinkPHP信息泄露漏洞

CVE-2022-25481

可直接访问未授权接口获取敏感信息

41

泛微E-Office /uploadify/uploadify.php 任意文件上传漏洞

CVE-2023-2648

可直接远程控制相关服务器

42

通达OA delete_log.php 后台SQL注入漏洞

CVE-2023-4166

可执行任意SQL命令获取敏感数据

43

TeamCity 远程代码执行漏洞

CVE-2023-42793

可直接远程控制相关服务器

44

Zoho ManageEngine SAML 任意代码执行漏洞

CVE-2022-47966

可直接远程控制相关服务器

45

海康威视-综合安防管理平台 /center/api/files 任意文件上传漏洞

CNVD-2022-88855

可直接远程控制相关服务器

46

泛微E-Office group_xml.php SQL注入漏洞

CNVD-2022-43843

可执行任意SQL命令获取敏感数据

47

泛微E-Office /iweboffice/officeserver.php 任意文件上传漏洞

CNVD-2022-43247

可直接远程控制相关服务器

48

Oracle Weblogic LockVersionExtractor T3 反序列化漏洞

CVE-2020-14825

可直接远程控制相关服务器

49

Apache Struts2 2.0.0~2.3.15 远程命令执行漏洞

CVE-2013-2251

可直接远程控制相关服务器

50

Oracle Weblogic RemoteConstructor IIOP T3反序列化漏洞

CVE-2020-14644

可直接远程控制相关服务器

51

Apache Axis AdminService 远程代码执行漏洞

CVE-2019-0227

可直接远程控制相关服务器

52

Oracle WebLogic 反序列化漏洞

CVE-2020-2551

可直接远程控制相关服务器

53

多款Red Hat产品远程代码执行漏洞

CVE-2015-7501

可直接远程控制相关服务器

54

Oracle WebLogic Server WLS 组件远程代码执行漏洞

CVE-2018-3191

可直接远程控制相关服务器

55

Fastjson <1.2.83 远程代码执行漏洞

CVE-2022-25845

可直接远程控制相关服务器

56

Apache Solr远程代码执行漏洞

CNVD-2023-27598

可直接远程控制相关服务器

57

Gitlab OmniAuth 账号劫持漏洞

CVE-2022-1162

可直接绕过认证机制获取敏感数据

58

WebLogic WLS 核心组件反序列化漏洞

CVE-2018-2628

可直接远程控制相关服务器

59

Oracle WebLogic Server WLS Core 组件安全漏洞

CVE-2018-2893

可直接远程控制相关服务器

60

JBoss Application Server JBossMQ JMS 反序列化漏洞

CVE-2017-7504

可直接远程控制相关服务器

61

Oracle WebLogic Console HTTP 协议远程代码执行漏洞

CVE-2020-14882

可直接远程控制相关服务器

62

Oracle Weblogic UniversalExtractor T3 反序列化漏洞

CVE-2020-14645

可直接远程控制相关服务器

63

Oracle WebLogic Server 安全漏洞

CVE-2020-14687

可直接远程控制相关服务器

64

Adobe ColdFusion 远程代码执行漏洞

CVE-2023-29300

可直接远程控制相关服务器

65

ThinkPHP lang参数 远程命令执行漏洞

CVE-2022-47945

可直接远程控制相关服务器

66

Atlassian Confluence 远程代码执行漏洞

CVE-2021-26084

可直接远程控制相关服务器

67

大华智慧园区综合管理平台任意文件上传漏洞

CVE-2023-3836

可直接远程控制相关服务器

68

帆软报表 design_save_svg 任意文件覆盖漏洞

CNVD-2021-34467

可直接远程控制相关服务器

69

禅道项目管理系统 account 参数存在SQL注入漏洞

CNVD-2022-42853

可直接远程控制相关服务器

70

Oracle WebLogic Server wls9-async 组件反序列化漏洞

CVE-2019-2729

可直接远程控制相关服务器

71

Jenkins MetaClass 存在远程代码执行漏洞

CVE-2018-1000861

可直接远程控制相关服务器

72

华天动力OA /ntkoupload.jsp 任意文件上传漏洞

CNVD-2022-54886

可直接远程控制相关服务器

73

F5 BIG-IP iControl REST device-stats 远程命令执行漏洞

CVE-2022-1388

可直接远程控制相关服务器

74

泛微 e-office UploadFile.php文件上传漏洞

CNVD-2021-49104

可直接远程控制相关服务器

75

Atlassian Jira 授权问题漏洞

CVE-2022-0540

可直接绕过认证机制获取敏感数据

76

致远OA /seeyon/htmlofficeservlet 路径任意文件写入漏洞

CNVD-2019-19299

可直接远程控制相关服务器

77

Spring Framework JDK >= 9 远程代码执行漏洞

CVE-2022-22965

可直接远程控制相关服务器

78

Laravel Framework Debug 远程代码执行漏洞

CVE-2021-3129

可直接远程控制相关服务器

79

GitLab 任意用户密码重置漏洞

CVE-2023-7028

可以通过重置用户密码接管代码管理平台,获取敏感信息

80

用友NC BeanShell存在命令执行漏洞

CNVD-2021-30167

可直接远程控制相关服务器

81

JeecgBoot JimuReport 模板注入导致命令执行漏洞

CVE-2023-4450

可直接远程控制相关服务器

82

Nacos Jraft Hessian反序列漏洞

CNVD-2023-45001

可直接远程控制相关服务器

83

GeoServer远程代码执行漏洞

CVE-2024-36401

可直接远程控制相关服务器

84

polkit(pkexec)权限提升漏洞

CVE-2021-4034

可导致低权限用户提升权限并执行管理操作

85

Metabase H2 远程代码执行漏洞

CVE-2023-38646

可直接远程控制相关服务器

86

TeamCity认证绕过漏洞

CVE-2024-23917

可直接远程控制相关服务器

87

H2 Database控制台远程代码执行漏洞

CVE-2021-42392

可直接远程控制相关服务器

88

Windows TCP/IP 远程代码执行漏洞

CVE-2024-38063

可直接远程控制相关服务器

89

CrushFTP 服务器端模板注入漏洞

CVE-2024-4040

可绕过身份验证获得管理访问权限,泄露敏感信息或执行代码

90

FortiGate SSL VPN 远程执行命令漏洞 

CVE-2024-21762

可直接远程控制相关服务器

91

PHP CGI 参数注入远程执行命令漏洞

CVE-2024-4577

可直接远程控制相关服务器

92

 Apache OFBiz路径遍历代码执行漏洞

CVE-2024-36104

可直接远程控制相关服务器

93

Apache OfBiz 反序列化命令执行漏洞

CVE-2023-49070

可直接远程控制相关服务器

94

Rejetto HTTP File Server 远程代码执行漏洞

CVE-2024-23692

可直接远程控制相关服务器

95

Nexus Repository 3 目录遍历与文件读取漏洞

CVE-2024-4956

可访问任意的文件获取敏感数据

96

Palo Alto Networks PAN-OS GlobalProtect 命令注入漏洞

CVE-2024-3400

可直接远程控制相关服务器

97

泛微E-Cology WorkflowServiceXml SQL注入漏洞

QVD-2024-26136

可执行任意SQL命令获取敏感数据

98

 Apache Solr Schema Designer 代码执行漏洞 

CVE-2023-50292

可直接远程控制相关服务器

99

Apache Zeppelin shell 代码注入漏洞

CVE-2024-31861

可直接远程控制相关服务器

100

Zabbix Server Audit Log SQL 注入漏洞

CVE-2024-22120

可执行任意SQL命令获取敏感数据

安全防护提示

升级软件和更新补丁

  1. 跟踪软件安全更新:持续跟踪并评估软件供应商发布的安全更新信息。

  2. 持续扫描探测:利用自动化工具定期对系统进行扫描,识别缺失的安全补丁和更新。

  3. 更新管理流程规范化:建立规范的更新管理流程,确保所有安全更新和补丁的安装配置均经过测试和审批。

  4. 定期安全审计:加强对开源软件组件、通用软硬件风险排查,定期对系统数据库、中间件、网络设备等进行全面的安全审计,发现防护缺陷和逻辑漏洞。

强化边界防护

  1. 加固路由器与防火墙:明确网络连接点,严格限制访问控制列表,防止未授权访问。优化升级应用防火墙、流量检测等安全防护设备规则库。定期更新固件,禁用无关服务,减少漏洞攻击面。

  2. 强化代理与网关安全:优化代理和网关配置,过滤恶意流量,阻挡潜在漏洞利用的威胁。使用高级代理检查加密流量,配置邮件网关过滤垃圾邮件和恶意附件。

  3. 更新威胁情报:定期更新防火墙和网关设备的威胁情报库,保持防护有效性,及时应对新型漏洞攻击手法。

  4. 日志监控与审计:集中监控和分析边界设备日志,及时发现攻击行为。利用安全信息与事件管理系统整合日志,识别异常并自动响应。

监测与加固内网

  1. 持续漏洞扫描与评估:部署漏洞扫描工具,定期扫描内网关键系统,识别并优先修复高危漏洞。

  2. 网络流量监控与分析:实时监控外联访问行为,检测异常行为,防止被植入木马后门。

  3. 用户行为监控:监控用户在内网的操作行为,识别异常活动和潜在的风险行为,定时分析用户行为模式,及时发现并处理不符合安全策略的行为。

  4. 内网资产管理:维护内网资产清单,确保设备和应用受控,减少安全风险。

  5. 系统加固与配置优化:调整系统配置,实施访问控制和最小权限原则。定期进行系统基线检查,确保配置符合安全标准。

加强终端防护

  1. 终端安全管理:在终端设备上安装安全检测工具,实时监控和处理潜在威胁。确保漏洞库及时更新,并严格执行保护策略,防止设备受到攻击。

  2. 数据加密与防泄漏:对敏感数据进行全面加密,防止在设备丢失或被盗时数据泄露。限制数据存放位置,避免在网站目录下直接存储备份文件或包含敏感信息的文档。

  3. 用户行为控制:限制风险操作,防止安装未授权的软件和访问可疑网站。实施防范社会工程攻击的措施,如识别虚假信息和防止信息泄露。


文章来源: https://mp.weixin.qq.com/s?__biz=MzAwNTgyODU3NQ==&mid=2651129272&idx=2&sn=55ee9db36adfa0de3888d657ac768e87&chksm=80e71f08b790961eca60cedb47205df6b547a3447a094e4c3d257d73c0efd3dd917861183254&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh