(原标题:信息安全厂商扎堆蹭热点,究竟谁能防御未知病毒)
北京 2017-05-15(商业电讯)-- ETERNALBLUE(永恒之蓝)病毒已经在全球肆虐三天了,病毒爆发以来,给各国造成恐慌的情绪,然而专注于核心数据领军企业优炫软件却显得那么从容自如。为什么说优炫软件能在风雨欲来风满楼的大环境下如此特立独行,原因就在于这家公司的核心产品做到了防御未知病毒的能力。据悉,在永恒之蓝勒索病毒肆虐的三天内,优炫操作系统安全增强系统(RS-CDPS)的用户出现了零病毒感染。
RS-CDPS用户的零病毒感染是如何做到的?根据优炫软件安全研究院的测试报告显示:通过RS-CDPS白名单功能,系统会强行禁止服务器中白名单以外的程序、服务器运行,做到事前主动防御。
接受测试的产品RS-CDPS,专门为操作系统完全量身定制,是这次Wannacry 勒索病毒的克星。
测试时安装一台win7的测试靶机,在靶机上安装RS-CDPS。利用攻击主机检测靶机的操作系统、检测靶机是否开放445端口(操作系统是win7,开放445端口),不激活RS-CDPS。在攻击主机上运行ETERNALBLUE,检测主机是否存在SMB漏洞(存在能成功执行)。
在RS-CDPS上开启禁用CMD+注册表这连个安全模块。利用注入工具,注入WannaCry病毒样本。查看返回信息(这里反弹shell没有成功接收)。CMD命令禁用能防止反弹性的回话,防止服务器被远程登陆、信息修改、资料盗取,强有力的保护着操作系统。
当RS-CDPS关闭禁用CMD+注册表开关后。
打开白名单功能。通过注入工具注入WannaCry病毒样本(避免网络感染,这里我们把软件拷贝到电脑上直接运行)。白名单采用非黑及白的机制,强行禁止服务器中白名单以外的程序、服务器运行。大大提高服务器的稳定性。
当RS-CDPS关闭白名单功能后。
Wannacry病毒的入侵,除了对重要文件进行加密以外,还会对系统的进程进行绑定,进程保护能很好的保护系统进程。
