《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 多地發(fā)生針對(duì)高價(jià)值服務(wù)器的 GlobeImposter 勒索病毒

多地發(fā)生針對(duì)高價(jià)值服務(wù)器的 GlobeImposter 勒索病毒

2018-08-23
關(guān)鍵詞: 勒索病毒 服務(wù)器

  2018年8月21日起,,多地發(fā)生 GlobeImposter 勒索病毒事件,,攻擊者在突破機(jī)構(gòu)和企業(yè)的邊界防御后,利用黑客工具進(jìn)行內(nèi)網(wǎng)滲透并選擇高價(jià)值目標(biāo)服務(wù)器人工投放勒索病毒,。

  根據(jù)監(jiān)測(cè)情況,該攻擊團(tuán)伙主要攻擊開(kāi)啟遠(yuǎn)程桌面服務(wù)的服務(wù)器,,利用密碼抓取工具獲取管理員密碼后對(duì)內(nèi)網(wǎng)服務(wù)器發(fā)起掃描并人工投放勒索病毒,,導(dǎo)致文件被加密。

  勒索病毒之前的傳播手段主要以釣魚郵件,、網(wǎng)頁(yè)掛馬,、漏洞利用為主,例如 Locky 在高峰時(shí)期僅一家企業(yè)郵箱一天之內(nèi)就遭受到上千萬(wàn)封勒索釣魚郵件攻擊,。

  然而,,從2016年下半年開(kāi)始通過(guò)RDP弱口令暴力破解服務(wù)器密碼人工投毒(常伴隨共享文件夾感染)逐漸成為主角,。

  2018年開(kāi)始,GlobeImposter,、Crysis等幾個(gè)感染用戶數(shù)量多,,破壞性強(qiáng)的勒索病毒幾乎全都采用這種方式進(jìn)行傳播,包括8月16日發(fā)現(xiàn)的 GandCrab 病毒也是采用RDP弱口令暴力破解服務(wù)器密碼人工投毒的方式進(jìn)行勒索,。

  目前,,國(guó)內(nèi)已經(jīng)有多家重要機(jī)構(gòu)受到了攻擊影響,根據(jù)本次事件特征分析,,其它同類型單位也面臨風(fēng)險(xiǎn),,需要積極應(yīng)對(duì)。

  本次攻擊者主要的突破邊界手段可能為Windows遠(yuǎn)程桌面服務(wù)密碼暴力破解,,在進(jìn)入內(nèi)網(wǎng)后會(huì)進(jìn)行多種方法獲取登陸憑據(jù)并在內(nèi)網(wǎng)橫向傳播,。

  這些機(jī)構(gòu)將更容易遭到攻擊者的侵害

  符合以下特征的機(jī)構(gòu)要當(dāng)心了。

  1. 存在弱口令且Windows遠(yuǎn)程桌面服務(wù)(3389端口)暴露在互聯(lián)網(wǎng)上的機(jī)構(gòu),。

  2. 內(nèi)網(wǎng)Windows終端,、服務(wù)器使用相同或者少數(shù)幾組口令。

  3. Windows服務(wù)器,、終端未部署或未及時(shí)更新安全加固和殺毒軟件,。

  如何應(yīng)對(duì)

  緊急處置方案

  1、對(duì)于已中招服務(wù)器下線隔離,。

  2,、對(duì)于未中招服務(wù)器

  1)在網(wǎng)絡(luò)邊界防火墻上全局關(guān)閉3389端口或3389端口只對(duì)特定IP開(kāi)放。

  2)開(kāi)啟Windows防火墻,,盡量關(guān)閉3389,、445、139,、135等不用的高危端口,。

  3)每臺(tái)服務(wù)器設(shè)置唯一口令,且復(fù)雜度要求采用大小寫字母,、數(shù)字,、特殊符號(hào)混合的組合結(jié)構(gòu),口令位數(shù)足夠長(zhǎng)(15位,、兩種組合以上),。

  后續(xù)跟進(jìn)方案

  1)對(duì)于已下線隔離中招服務(wù)器,聯(lián)系專業(yè)技術(shù)服務(wù)機(jī)構(gòu)進(jìn)行日志及樣本分析,。

  服務(wù)器,、終端防護(hù)

  1.  所有服務(wù)器、終端應(yīng)強(qiáng)行實(shí)施復(fù)雜密碼策略,,杜絕弱口令

  2.  杜絕使用通用密碼管理所有機(jī)器

  3.  安裝殺毒軟件,、終端安全管理軟件并及時(shí)更新病毒庫(kù)

  4.  及時(shí)安裝漏洞補(bǔ)丁

  5.  服務(wù)器開(kāi)啟關(guān)鍵日志收集功能,,為安全事件的追蹤溯源提供基礎(chǔ)

  網(wǎng)絡(luò)防護(hù)與安全監(jiān)測(cè)

  1.   對(duì)內(nèi)網(wǎng)安全域進(jìn)行合理劃分。各個(gè)安全域之間限制嚴(yán)格的 ACL,,限制橫向移動(dòng)的范圍,。

  2.   重要業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)庫(kù)應(yīng)當(dāng)設(shè)置獨(dú)立的安全區(qū)域并做好區(qū)域邊界的安全防御,嚴(yán)格限制重要區(qū)域的訪問(wèn)權(quán)限并關(guān)閉telnet,、snmp等不必要、不安全的服務(wù),。

  3.   在網(wǎng)絡(luò)內(nèi)架設(shè) IDS/IPS 設(shè)備,,及時(shí)發(fā)現(xiàn)、阻斷內(nèi)網(wǎng)的橫向移動(dòng)行為,。

  4.   在網(wǎng)絡(luò)內(nèi)架設(shè)全流量記錄設(shè)備,,以及發(fā)現(xiàn)內(nèi)網(wǎng)的橫向移動(dòng)行為,并為追蹤溯源提供良好的基礎(chǔ),。

  應(yīng)用系統(tǒng)防護(hù)及數(shù)據(jù)備份

  1.   應(yīng)用系統(tǒng)層面,,需要對(duì)應(yīng)用系統(tǒng)進(jìn)行安全滲透測(cè)試與加固,保障應(yīng)用系統(tǒng)自身安全可控,。

  2.   對(duì)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進(jìn)行及時(shí)備份,,并驗(yàn)證備份系統(tǒng)及備份數(shù)據(jù)的可用性。

  3.   建立安全災(zāi)備預(yù)案,,一但核心系統(tǒng)遭受攻擊,,需要確保備份業(yè)務(wù)系統(tǒng)可以立即啟用;同時(shí),,需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作,,辟免主系統(tǒng)和備份系統(tǒng)同時(shí)被攻擊,影響業(yè)務(wù)連續(xù)性,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected],。