緊急預警�!多地發(fā)生針對高價值服務器的GlobeImposter勒索病毒攻擊事件
2018年09月29日
自2018年8月21日起,多地發(fā)生GlobeImposter勒索病毒事件�����,經(jīng)過定性分析���,攻擊者在突破邊界防御后利用黑客工具進行內(nèi)網(wǎng)滲透并選擇高價值目標服務器人工投放勒索病毒����。
此攻擊團伙主要攻擊開啟遠程桌面服務的服務器����,利用密碼抓取工具獲取管理員密碼后對內(nèi)網(wǎng)服務器發(fā)起掃描并人工投放勒索病毒����,導致文件被加密���。病毒感染后的主要特征包括windows 服務器文件被加密、且加密文件的文件名后綴為*.RESERVE�����。
多位安全專家對此事件進行了緊密跟蹤與分析���,認為本次事件不同于普通的勒索病毒事件�����。
安全專家介紹�,勒索病毒之前的傳播手段主要以釣魚郵件���、網(wǎng)頁掛馬���、漏洞利用為主,例如Locky在高峰時期僅一家企業(yè)郵箱一天之內(nèi)就遭受到上千萬封勒索釣魚郵件攻擊����。然而����,從2016年下半年開始�,隨著Crysis/XTBL的出現(xiàn),通過RDP弱口令暴力破解服務器密碼人工投毒(常伴隨共享文件夾感染)逐漸成為主角��。到了2018年�����,幾個影響力大的勒索病毒幾乎全都采用這種方式進行傳播�,這其中以GlobeImposter、Crysis為代表�����,感染用戶數(shù)量多�,破壞性強。360安全監(jiān)測與響應中心在2018年8月16日發(fā)布的《GandCrab病毒勒索攻擊安全預警通告》中涉及到的GandCrab病毒也是采用RDP弱口令暴力破解服務器密碼人工投毒的方式進行勒索���。
根據(jù)本次事件特征分析�,除已受到攻擊的單位外�,其他同類型單位也面臨風險,需積極應對���。
攻擊工具及特征
黑客突破邊界防御后��,會以工具輔助手工的方式�,對內(nèi)網(wǎng)其他機器進行滲透���。通過對多個現(xiàn)場的調(diào)查�,黑客所使用的工具包括但不限于:
1. 全功能遠控木馬
2. 自動化添加管理員的腳本
3. 內(nèi)網(wǎng)共享掃描工具
4. Windows 密碼抓取工具
5. 網(wǎng)絡嗅探���、多協(xié)議暴破工具
6. 瀏覽器密碼查看工具
攻擊者在打開內(nèi)網(wǎng)突破口后���,會在內(nèi)網(wǎng)對其他主機進行口令暴破。在內(nèi)網(wǎng)橫向移動至一臺新的主機后��,會嘗試進行包括但不限于以下操作:
1. 手動或用工具卸載主機上安裝的防護軟件
2. 下載或上傳黑客工具包
3. 手動啟用遠程控制以及勒索病毒
易受攻擊影響的機構
本次攻擊者主要的突破邊界手段可能為Windows遠程桌面服務密碼暴力破解�,在進入內(nèi)網(wǎng)后會進行多種方法獲取登陸憑據(jù)并在內(nèi)網(wǎng)橫向傳播。
綜上�����,符合以下特征的機構將更容易遭到攻擊者的侵害:
1. 存在弱口令且Windows遠程桌面服務(3389端口)暴露在互聯(lián)網(wǎng)上的機構�。
2. 內(nèi)網(wǎng)Windows終端、服務器使用相同或者少數(shù)幾組口令����。
3. Windows服務器���、終端未部署或未及時更新安全加固和殺毒軟件
處置建議
一、緊急處置方案
1. 對于已中招服務器: 下線隔離�����。
2. 對于未中招服務器:
1)在網(wǎng)絡邊界防火墻上全局關閉3389端口或3389端口只對特定IP開放���。
2)開啟Windows防火墻���,盡量關閉3389、445��、139�����、135等不用的高危端口�。
3)每臺服務器設置唯一口令,且復雜度要求采用大小寫字母���、數(shù)字���、特殊符號混合的組合結構�����,口令位數(shù)足夠長(15位、兩種組合以上)��。
二����、后續(xù)跟進方案
對于已下線隔離中招服務器,聯(lián)系專業(yè)技術服務機構進行日志及樣本分析��。
服務器�����、終端防護
1. 所有服務器���、終端應強行實施復雜密碼策略���,杜絕弱口令
2. 杜絕使用通用密碼管理所有機器
3. 安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫
4. 及時安裝漏洞補丁
5. 服務器開啟關鍵日志收集功能��,為安全事件的追蹤溯源提供基礎
網(wǎng)絡防護與安全監(jiān)測
1. 對內(nèi)網(wǎng)安全域進行合理劃分。各個安全域之間限制嚴格的 ACL�,限制橫向移動的范圍。
2. 重要業(yè)務系統(tǒng)及核心數(shù)據(jù)庫應當設置獨立的安全區(qū)域并做好區(qū)域邊界的安全防御�,嚴格限制重要區(qū)域的訪問權限并關閉telnet、snmp等不必要��、不安全的服務�����。
3. 在網(wǎng)絡內(nèi)架設 IDS/IPS 設備�,及時發(fā)現(xiàn)、阻斷內(nèi)網(wǎng)的橫向移動行為�����。
4. 在網(wǎng)絡內(nèi)架設全流量記錄設備��,以及發(fā)現(xiàn)內(nèi)網(wǎng)的橫向移動行為��,并為追蹤溯源提供良好的基礎�。
應用系統(tǒng)防護及數(shù)據(jù)備份
1. 應用系統(tǒng)層面,需要對應用系統(tǒng)進行安全滲透測試與加固��,保障應用系統(tǒng)自身安全可控。
2. 對業(yè)務系統(tǒng)及數(shù)據(jù)進行及時備份�,并驗證備份系統(tǒng)及備份數(shù)據(jù)的可用性。
3. 建立安全災備預案�,一但核心系統(tǒng)遭受攻擊,需要確保備份業(yè)務系統(tǒng)可以立即啟用�����;同時���,需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作,辟免主系統(tǒng)和備份系統(tǒng)同時被攻擊�����,影響業(yè)務連續(xù)性�。
六、結語
1.安全防護本身是一個動態(tài)的對抗過程�����,在以上安全加固措施的基礎上��,日常工作中��,還需要加強系統(tǒng)使用過程的管理與網(wǎng)絡安全狀態(tài)的實時監(jiān)測:
2.電腦中不使用不明來歷的U盤、移動硬盤等存儲設備���;不接入公共網(wǎng)絡��,同時機構的內(nèi)部網(wǎng)絡中不運行不明來歷的設備接入��。
3. 要常態(tài)化的開展安全檢查和評估���,及時發(fā)現(xiàn)安全薄弱環(huán)節(jié),及時修補安全漏洞和安全管理機制上的不足��,時刻保持系統(tǒng)的安全維持在一個相對較高的水平��;(類似定期體檢)
4.及時關注并跟進網(wǎng)絡安全的技術進步��,有條件的單位��,可以采取新型的基于大數(shù)據(jù)的流量的監(jiān)測設備并配合專業(yè)的分析服務�����,以便做到蠕蟲病毒的第一時間發(fā)現(xiàn)����、第一時間處置�����、第一時間溯源根除��。
江蘇國駿信息科技有限公司在信息網(wǎng)絡安全�、運維平臺建設��、動漫設計�����、軟件研發(fā)��、數(shù)據(jù)中心領域具備十多年的行業(yè)沉淀���。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”��、“制度流程”��、“技術產(chǎn)品”三個視角提供全面�����、可信的方案,業(yè)務涵蓋咨詢����、評估、規(guī)劃��、管控����、建設、培訓等���。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商��。
