一、诺亚防勒索软件POC测试
准备工作:
测试环境 |
准备内容 |
诺亚防勒索软件Server端 |
测试平台:https://114.67.*.*/#/login 账号:admin 密码:**** |
诺亚防勒索软件客户端 |
通过测试平台下载对应版本 |
操作系统1 |
Windows Server 2008 R2 |
操作系统2 |
CentOS 7.4 |
原理:
诺亚防勒索病毒产品为CS架构,无离线版,不可脱离server端独立运行。
1、阻止勒索病毒对文件的加密篡改(通过客户端上报日志到服务器端,服务器端进行策略下发)
2、阻止勒索病毒运行(客户端打开堡垒模式后,即可阻止所有.exe的运行)
1、诺亚防勒索系统Server端:
2、诺亚防勒索系统客户端部署:
3、发现缺少.Net文件,则安装.Net 3.5
4、安装.Net 3.5功能(程序和功能->功能->.NET Framework 3.5)
5、安装完成,双击运行。
6、查看诺亚防勒索病毒系统Server端,查看设备是否已受保护和监控。
7、验证是否可以关闭诺亚防勒索病毒客户端(尝试关闭任务管理器进程)
8、验证是否可以关闭诺亚防勒索病毒客户端(命令行尝试关闭PID进程task killed)
9、注入Fake勒索病毒软件进行实际测试
10、对任意文件夹进行文件加密,发现无法运行勒索病毒程序
11、诺亚防勒索病毒软件日志未上传
二、天融信杀毒软件POC测试
准备工作:
测试环境 |
准备内容 |
天融信EDR软件离线版客户端(免费版) |
天融信offline_installer_offline离线版软件 |
操作系统 |
Windows Server 2008 R2 |
原理:
天融信EDR系统为CS架构,可脱离server端独立进行离线运行。
离线版可实现勒索病毒诱捕,可对整个C盘或D盘进行防勒索病毒,但对于某个子文件夹的防勒索病毒效果不佳,基本能够满足绝大部分的需求。
1、安装天融信EDR客户端(offline离线版)
2、选择脱离企业管理
3、开启勒索病毒诱捕
4、注入勒索病毒,并对某个固定文件夹进行加密。
5、成功加密某个子文件夹
6、打开测试文件,发现乱码。
7、将文件解密后,出现原始测试字符。
8、对某个盘进行加密,譬如C://盘进行加密,发现勒索病毒无法启动。
9、通过天融信杀毒软件查看安全日志,设置相关的黑名单IP,防止肉鸡攻破系统。
10、通过天融信杀毒软件查看安全日志,添加相关的黑名单IP/白名单IP/协议控制。
综上所述,相对来说诺亚和天融信的EDR各有优劣势,相对而言诺亚的防勒索效果更佳,但是天融信防勒索性价比较高。