一、諾亞防勒索軟體POC測試
準備工作:
測試環境 | 準備内容 |
諾亞防勒索軟體Server端 | 測試平台: https://114.67.*.*/#/login 賬号:admin 密碼:**** |
諾亞防勒索軟體用戶端 | 通過測試平台下載下傳對應版本 |
作業系統1 | Windows Server 2008 R2 |
作業系統2 | CentOS 7.4 |
原理:
諾亞防勒索病毒産品為CS架構,無離線版,不可脫離server端獨立運作。
1、阻止勒索病毒對檔案的加密篡改(通過用戶端上報日志到伺服器端,伺服器端進行政策下發)
2、阻止勒索病毒運作(用戶端打開堡壘模式後,即可阻止所有.exe的運作)
1、諾亞防勒索系統Server端:
2、諾亞防勒索系統用戶端部署:
3、發現缺少.Net檔案,則安裝.Net 3.5
4、安裝.Net 3.5功能(程式和功能->功能->.NET Framework 3.5)
5、安裝完成,輕按兩下運作。
6、檢視諾亞防勒索病毒系統Server端,檢視裝置是否已受保護和監控。
7、驗證是否可以關閉諾亞防勒索病毒用戶端(嘗試關閉任務管理器程序)
8、驗證是否可以關閉諾亞防勒索病毒用戶端(指令行嘗試關閉PID程序task killed)
9、注入Fake勒索病毒軟體進行實際測試
10、對任意檔案夾進行檔案加密,發現無法運作勒索病毒程式
11、諾亞防勒索病毒軟體日志未上傳
二、天融信防毒軟體POC測試
天融信EDR軟體離線版用戶端(免費版) | 天融信offline_installer_offline離線版軟體 |
作業系統 |
天融信EDR系統為CS架構,可脫離server端獨立進行離線運作。
離線版可實作勒索病毒誘捕,可對整個C槽或D盤進行防勒索病毒,但對于某個子檔案夾的防勒索病毒效果不佳,基本能夠滿足絕大部分的需求。
1、安裝天融信EDR用戶端(offline離線版)
2、選擇脫離企業管理
3、開啟勒索病毒誘捕
4、注入勒索病毒,并對某個固定檔案夾進行加密。
5、成功加密某個子檔案夾
6、打開測試檔案,發現亂碼。
7、将檔案解密後,出現原始測試字元。
8、對某個盤進行加密,譬如C://盤進行加密,發現勒索病毒無法啟動。
9、通過天融信防毒軟體檢視安全日志,設定相關的黑名單IP,防止殭屍電腦攻破系統。
10、通過天融信防毒軟體檢視安全日志,添加相關的黑名單IP/白名單IP/協定控制。
綜上所述,相對來說諾亞和天融信的EDR各有優劣勢,相對而言諾亞的防勒索效果更佳,但是天融信防勒索成本效益較高。