【威胁通告】Vollgar 僵尸网络威胁通告

Guardicore Labs提供了PowerShell自查脚本Script - detect_vollgar.ps1，自查脚本detect_vollgar.ps1可实现本地攻击痕迹检测，检测内容如下：

1.     文件系统中的恶意payload；

2.     恶意服务进程任务名；

3.     后门用户名。

脚本下载链接：

https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

检测步骤：

1、下载自查脚本detect_vollgar.ps1至本地，脚本内容详见地址https://github.com/guardicore/labs_campaigns/blob/master/Vollgar/detect_vollgar.ps1

2、“Windows”+“R”，在弹出的运行界面搜索PowerShell。

3、运行脚本。如果回显中包含“Evidence for Vollgar campaign has been found on this host.”字样，则说明当前系统可能已被感染。

若存在感染情况，请参考下列方法进行处理：

1、 移除探测自查结果中的攻击痕迹。

2、 终止恶意程序

注：若出现直接运行PowerShell时提示“无法加载文件ps1，因为在此系统中禁止执行脚本。有关详细信息，请参阅 "get-help about_signing"。此提示是由于没有权限执行该脚本。

可运行如下命令查看当前执行策略：

如果显示“Restricted”则为不允许执行任何脚本。

通过运行以下命令可修改其策略：

修改成功后即可使用PowerShell执行脚本

如需撤销对其策略的修改，可通过运行以下命令进行恢复。

3.2  常规防护建议

1.   关闭数据库账号登录方式  以windows身份验证方式登录数据库  并在windows策略里设置密码强度。

2.   加强网络边界入侵防范和管理，在网络出入口设置防火墙等网络安全设备，对不必要的通讯予以阻断；

3.   对暴露在互联网上的网络设备、服务器、操作系统和应用系统进行安全排查，包括但不限漏洞扫描、木马监测、配置核查、WEB漏洞检测、网站渗透测试等；

4.   加强安全管理，建立网络安全应急处置机制，启用网络和运行日志审计，安排网络值守，做好监测措施，及时发现攻击风险，及时处理；