火絨產品公告——新增重要功能“漏洞攻擊攔截”

最新資訊

2018-04-19

次閱讀

功能說明：

火絨產品（個人版、企業版）正式上線"漏洞攻擊攔截"功能模塊，這是火絨產品針對系統漏洞（未打補丁的情況下）的重要防御功能，請大家盡快升級、重啟，完成新功能啟用。

針對嚴重威脅用戶的遠程類漏洞，該模塊從網絡數據層面分析并識別漏洞攻擊模型（譬如：永恒之藍的SMB協議漏洞），在攻擊數據進入系統漏洞之前進行攔截，從而在系統沒有打漏洞補丁的情況，完成安全熱補，阻止勒索軟件、黑客滲透程序等高危威脅的入侵，并記錄攻擊發起者IP地址信息，方便進行攻擊溯源。

主要作用：

1、阻止通過系統漏洞傳播的勒索病毒、黑客滲透等高危威脅入侵，以及其他新老病毒；

2、記錄攻擊發起者IP地址，方便進行攻擊溯源，采取相應的隔離、查殺等措施；

適用系統：

Windows7及以上系統

適用用戶及場景：

1、因為各種原因，沒有及時修復漏洞的個人用戶，以及機構（政府、企業、學校、醫院等）局域網用戶；

2、內外網隔離環境下，系統無法順利更新補丁的內網電腦和服務器；

3、服務器需要保持正常運維，無法頻繁停機重啟，不能及時更新漏洞補??；

4、局域網內有電腦被病毒感染，并且作為感染源向其他電腦傳播病毒，屢殺不絕；

5、網管無法獲取攻擊發起者IP地址，找不到攻擊源頭，無法采取相應措施。

攻擊環境分析：

1、機構（政府、企業、學校、醫院等）局域網用戶

病毒、攻擊者成功地攻擊個人用戶電腦（1.釣魚攻擊2.脫離局域網時被攻擊等等）后，利用局域網環境迅速在機構內部傳播開。

2、企業用戶DMZ（Demilitarizedzone）

病毒、攻擊者通過攻擊DMZ中暴露在互聯網上的服務器進入企業內部。

3、運營商機房

病毒、攻擊者通過攻陷機房內的一臺托管服務器（SQL注入等其它漏洞形式）后，利用機房大量服務器在一個網段、未有效隔離端口等環境迅速在機房內傳播開。

被攻擊的現象感知：

1、CPU占用高、機器發熱、性能下降

目前各種挖礦病毒，利用"漏洞"傳播，利用用戶電腦攫取利益。

2、系統無故藍屏

許多攻擊者利用"永恒之藍"等漏洞的攻擊工具，該工具構造的攻擊包不是很完善，有時會造成被攻擊電腦直接藍屏。

3、文件被加密勒索

勒索病毒不斷變種（躲避查殺），90%以上是通過漏洞進入用戶電腦，加密用戶文件勒索錢財。

4、局域網內病毒屢殺不絕

某些電腦的系統漏洞沒打補丁，會在局域網內反復被病毒感染，屢殺不絕，并且難以發現攻擊源頭。

功能開啟方法：

"漏洞攻擊攔截"模塊內嵌在火絨產品的"黑客入侵攔截"功能中，火絨用戶將產品升級到最新版并重啟電腦，該功能即被啟用。

非火絨用戶，進入官網下載個人版"火絨安全軟件"（http://www.rf-private.com/prod.html），或企業版"火絨終端安全管理系統"（http://www.rf-private.com/essmgr/essreg），正常安裝、升級即可啟用該功能（"黑客入侵攔截"模塊是默認開啟的）。

攔截表現：

當該功能攔截、阻止通過漏洞入侵的勒索病毒等威脅時，軟件托盤處會有紅色亮點開始閃爍，將鼠標移到該圖標上，即可看到詳細的攔截數據（攻擊者IP、漏洞名稱、觸發時間等）。