2018年8月21日起,多地發(fā)生 GlobeImposter 勒索病毒事件,攻擊者在突破機構(gòu)和企業(yè)的邊界防御后,利用黑客工具進行內(nèi)網(wǎng)滲透并選擇高價值目標(biāo)服務(wù)器人工投放勒索病毒。
根據(jù)監(jiān)測情況,該攻擊團伙主要攻擊開啟遠程桌面服務(wù)的服務(wù)器,利用密碼抓取工具獲取管理員密碼后對內(nèi)網(wǎng)服務(wù)器發(fā)起掃描并人工投放勒索病毒,導(dǎo)致文件被加密。
勒索病毒之前的傳播手段主要以釣魚郵件、網(wǎng)頁掛馬、漏洞利用為主,例如 Locky 在高峰時期僅一家企業(yè)郵箱一天之內(nèi)就遭受到上千萬封勒索釣魚郵件攻擊。
然而,從2016年下半年開始通過RDP弱口令暴力破解服務(wù)器密碼人工投毒(常伴隨共享文件夾感染)逐漸成為主角。
2018年開始,GlobeImposter、Crysis等幾個感染用戶數(shù)量多,破壞性強的勒索病毒幾乎全都采用這種方式進行傳播,包括8月16日發(fā)現(xiàn)的 GandCrab 病毒也是采用RDP弱口令暴力破解服務(wù)器密碼人工投毒的方式進行勒索。
目前,國內(nèi)已經(jīng)有多家重要機構(gòu)受到了攻擊影響,根據(jù)本次事件特征分析,其它同類型單位也面臨風(fēng)險,需要積極應(yīng)對。
本次攻擊者主要的突破邊界手段可能為Windows遠程桌面服務(wù)密碼暴力破解,在進入內(nèi)網(wǎng)后會進行多種方法獲取登陸憑據(jù)并在內(nèi)網(wǎng)橫向傳播。
這些機構(gòu)將更容易遭到攻擊者的侵害
符合以下特征的機構(gòu)要當(dāng)心了。
1. 存在弱口令且Windows遠程桌面服務(wù)(3389端口)暴露在互聯(lián)網(wǎng)上的機構(gòu)。
2. 內(nèi)網(wǎng)Windows終端、服務(wù)器使用相同或者少數(shù)幾組口令。
3. Windows服務(wù)器、終端未部署或未及時更新安全加固和殺毒軟件。
如何應(yīng)對
緊急處置方案
1、對于已中招服務(wù)器下線隔離。
2、對于未中招服務(wù)器
1)在網(wǎng)絡(luò)邊界防火墻上全局關(guān)閉3389端口或3389端口只對特定IP開放。
2)開啟Windows防火墻,盡量關(guān)閉3389、445、139、135等不用的高危端口。
3)每臺服務(wù)器設(shè)置唯一口令,且復(fù)雜度要求采用大小寫字母、數(shù)字、特殊符號混合的組合結(jié)構(gòu),口令位數(shù)足夠長(15位、兩種組合以上)。
后續(xù)跟進方案
1)對于已下線隔離中招服務(wù)器,聯(lián)系專業(yè)技術(shù)服務(wù)機構(gòu)進行日志及樣本分析。
服務(wù)器、終端防護
1. 所有服務(wù)器、終端應(yīng)強行實施復(fù)雜密碼策略,杜絕弱口令
2. 杜絕使用通用密碼管理所有機器
3. 安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫
4. 及時安裝漏洞補丁
5. 服務(wù)器開啟關(guān)鍵日志收集功能,為安全事件的追蹤溯源提供基礎(chǔ)
網(wǎng)絡(luò)防護與安全監(jiān)測
1. 對內(nèi)網(wǎng)安全域進行合理劃分。各個安全域之間限制嚴格的 ACL,限制橫向移動的范圍。
2. 重要業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)庫應(yīng)當(dāng)設(shè)置獨立的安全區(qū)域并做好區(qū)域邊界的安全防御,嚴格限制重要區(qū)域的訪問權(quán)限并關(guān)閉telnet、snmp等不必要、不安全的服務(wù)。
3. 在網(wǎng)絡(luò)內(nèi)架設(shè) IDS/IPS 設(shè)備,及時發(fā)現(xiàn)、阻斷內(nèi)網(wǎng)的橫向移動行為。
4. 在網(wǎng)絡(luò)內(nèi)架設(shè)全流量記錄設(shè)備,以及發(fā)現(xiàn)內(nèi)網(wǎng)的橫向移動行為,并為追蹤溯源提供良好的基礎(chǔ)。
應(yīng)用系統(tǒng)防護及數(shù)據(jù)備份
1. 應(yīng)用系統(tǒng)層面,需要對應(yīng)用系統(tǒng)進行安全滲透測試與加固,保障應(yīng)用系統(tǒng)自身安全可控。
2. 對業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進行及時備份,并驗證備份系統(tǒng)及備份數(shù)據(jù)的可用性。
3. 建立安全災(zāi)備預(yù)案,一但核心系統(tǒng)遭受攻擊,需要確保備份業(yè)務(wù)系統(tǒng)可以立即啟用;同時,需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作,辟免主系統(tǒng)和備份系統(tǒng)同時被攻擊,影響業(yè)務(wù)連續(xù)性。