緊急預(yù)警!多地發(fā)生針對(duì)高價(jià)值服務(wù)器的GlobeImposter勒索病毒攻擊事件
2018年09月29日
自2018年8月21日起�����,多地發(fā)生GlobeImposter勒索病毒事件���,經(jīng)過定性分析����,攻擊者在突破邊界防御后利用黑客工具進(jìn)行內(nèi)網(wǎng)滲透并選擇高價(jià)值目標(biāo)服務(wù)器人工投放勒索病毒���。
此攻擊團(tuán)伙主要攻擊開啟遠(yuǎn)程桌面服務(wù)的服務(wù)器��,利用密碼抓取工具獲取管理員密碼后對(duì)內(nèi)網(wǎng)服務(wù)器發(fā)起掃描并人工投放勒索病毒�����,導(dǎo)致文件被加密��。病毒感染后的主要特征包括windows 服務(wù)器文件被加密����、且加密文件的文件名后綴為*.RESERVE。
多位安全專家對(duì)此事件進(jìn)行了緊密跟蹤與分析�����,認(rèn)為本次事件不同于普通的勒索病毒事件�����。
安全專家介紹�����,勒索病毒之前的傳播手段主要以釣魚郵件��、網(wǎng)頁掛馬�����、漏洞利用為主,例如Locky在高峰時(shí)期僅一家企業(yè)郵箱一天之內(nèi)就遭受到上千萬封勒索釣魚郵件攻擊����。然而,從2016年下半年開始���,隨著Crysis/XTBL的出現(xiàn)�����,通過RDP弱口令暴力破解服務(wù)器密碼人工投毒(常伴隨共享文件夾感染)逐漸成為主角。到了2018年����,幾個(gè)影響力大的勒索病毒幾乎全都采用這種方式進(jìn)行傳播,這其中以GlobeImposter�����、Crysis為代表��,感染用戶數(shù)量多�,破壞性強(qiáng)。360安全監(jiān)測(cè)與響應(yīng)中心在2018年8月16日發(fā)布的《GandCrab病毒勒索攻擊安全預(yù)警通告》中涉及到的GandCrab病毒也是采用RDP弱口令暴力破解服務(wù)器密碼人工投毒的方式進(jìn)行勒索�。
根據(jù)本次事件特征分析,除已受到攻擊的單位外���,其他同類型單位也面臨風(fēng)險(xiǎn)�����,需積極應(yīng)對(duì)�。
攻擊工具及特征
黑客突破邊界防御后,會(huì)以工具輔助手工的方式��,對(duì)內(nèi)網(wǎng)其他機(jī)器進(jìn)行滲透��。通過對(duì)多個(gè)現(xiàn)場(chǎng)的調(diào)查���,黑客所使用的工具包括但不限于:
1. 全功能遠(yuǎn)控木馬
2. 自動(dòng)化添加管理員的腳本
3. 內(nèi)網(wǎng)共享掃描工具
4. Windows 密碼抓取工具
5. 網(wǎng)絡(luò)嗅探��、多協(xié)議暴破工具
6. 瀏覽器密碼查看工具
攻擊者在打開內(nèi)網(wǎng)突破口后��,會(huì)在內(nèi)網(wǎng)對(duì)其他主機(jī)進(jìn)行口令暴破�����。在內(nèi)網(wǎng)橫向移動(dòng)至一臺(tái)新的主機(jī)后����,會(huì)嘗試進(jìn)行包括但不限于以下操作:
1. 手動(dòng)或用工具卸載主機(jī)上安裝的防護(hù)軟件
2. 下載或上傳黑客工具包
3. 手動(dòng)啟用遠(yuǎn)程控制以及勒索病毒
易受攻擊影響的機(jī)構(gòu)
本次攻擊者主要的突破邊界手段可能為Windows遠(yuǎn)程桌面服務(wù)密碼暴力破解,在進(jìn)入內(nèi)網(wǎng)后會(huì)進(jìn)行多種方法獲取登陸憑據(jù)并在內(nèi)網(wǎng)橫向傳播��。
綜上���,符合以下特征的機(jī)構(gòu)將更容易遭到攻擊者的侵害:
1. 存在弱口令且Windows遠(yuǎn)程桌面服務(wù)(3389端口)暴露在互聯(lián)網(wǎng)上的機(jī)構(gòu)��。
2. 內(nèi)網(wǎng)Windows終端��、服務(wù)器使用相同或者少數(shù)幾組口令�。
3. Windows服務(wù)器�����、終端未部署或未及時(shí)更新安全加固和殺毒軟件
處置建議
一�����、緊急處置方案
1. 對(duì)于已中招服務(wù)器: 下線隔離�。
2. 對(duì)于未中招服務(wù)器:
1)在網(wǎng)絡(luò)邊界防火墻上全局關(guān)閉3389端口或3389端口只對(duì)特定IP開放����。
2)開啟Windows防火墻,盡量關(guān)閉3389����、445��、139���、135等不用的高危端口。
3)每臺(tái)服務(wù)器設(shè)置唯一口令�����,且復(fù)雜度要求采用大小寫字母�、數(shù)字、特殊符號(hào)混合的組合結(jié)構(gòu)�,口令位數(shù)足夠長(zhǎng)(15位、兩種組合以上)�。
二、后續(xù)跟進(jìn)方案
對(duì)于已下線隔離中招服務(wù)器�,聯(lián)系專業(yè)技術(shù)服務(wù)機(jī)構(gòu)進(jìn)行日志及樣本分析。
服務(wù)器���、終端防護(hù)
1. 所有服務(wù)器��、終端應(yīng)強(qiáng)行實(shí)施復(fù)雜密碼策略�����,杜絕弱口令
2. 杜絕使用通用密碼管理所有機(jī)器
3. 安裝殺毒軟件��、終端安全管理軟件并及時(shí)更新病毒庫
4. 及時(shí)安裝漏洞補(bǔ)丁
5. 服務(wù)器開啟關(guān)鍵日志收集功能�,為安全事件的追蹤溯源提供基礎(chǔ)
網(wǎng)絡(luò)防護(hù)與安全監(jiān)測(cè)
1. 對(duì)內(nèi)網(wǎng)安全域進(jìn)行合理劃分。各個(gè)安全域之間限制嚴(yán)格的 ACL�,限制橫向移動(dòng)的范圍。
2. 重要業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)庫應(yīng)當(dāng)設(shè)置獨(dú)立的安全區(qū)域并做好區(qū)域邊界的安全防御����,嚴(yán)格限制重要區(qū)域的訪問權(quán)限并關(guān)閉telnet、snmp等不必要�����、不安全的服務(wù)�����。
3. 在網(wǎng)絡(luò)內(nèi)架設(shè) IDS/IPS 設(shè)備��,及時(shí)發(fā)現(xiàn)���、阻斷內(nèi)網(wǎng)的橫向移動(dòng)行為。
4. 在網(wǎng)絡(luò)內(nèi)架設(shè)全流量記錄設(shè)備�,以及發(fā)現(xiàn)內(nèi)網(wǎng)的橫向移動(dòng)行為�,并為追蹤溯源提供良好的基礎(chǔ)���。
應(yīng)用系統(tǒng)防護(hù)及數(shù)據(jù)備份
1. 應(yīng)用系統(tǒng)層面�,需要對(duì)應(yīng)用系統(tǒng)進(jìn)行安全滲透測(cè)試與加固���,保障應(yīng)用系統(tǒng)自身安全可控����。
2. 對(duì)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進(jìn)行及時(shí)備份�,并驗(yàn)證備份系統(tǒng)及備份數(shù)據(jù)的可用性。
3. 建立安全災(zāi)備預(yù)案���,一但核心系統(tǒng)遭受攻擊�����,需要確保備份業(yè)務(wù)系統(tǒng)可以立即啟用�;同時(shí)��,需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作���,辟免主系統(tǒng)和備份系統(tǒng)同時(shí)被攻擊�����,影響業(yè)務(wù)連續(xù)性��。
六���、結(jié)語
1.安全防護(hù)本身是一個(gè)動(dòng)態(tài)的對(duì)抗過程����,在以上安全加固措施的基礎(chǔ)上�,日常工作中,還需要加強(qiáng)系統(tǒng)使用過程的管理與網(wǎng)絡(luò)安全狀態(tài)的實(shí)時(shí)監(jiān)測(cè):
2.電腦中不使用不明來歷的U盤����、移動(dòng)硬盤等存儲(chǔ)設(shè)備;不接入公共網(wǎng)絡(luò)���,同時(shí)機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)中不運(yùn)行不明來歷的設(shè)備接入���。
3. 要常態(tài)化的開展安全檢查和評(píng)估����,及時(shí)發(fā)現(xiàn)安全薄弱環(huán)節(jié)�����,及時(shí)修補(bǔ)安全漏洞和安全管理機(jī)制上的不足����,時(shí)刻保持系統(tǒng)的安全維持在一個(gè)相對(duì)較高的水平���;(類似定期體檢)
4.及時(shí)關(guān)注并跟進(jìn)網(wǎng)絡(luò)安全的技術(shù)進(jìn)步���,有條件的單位,可以采取新型的基于大數(shù)據(jù)的流量的監(jiān)測(cè)設(shè)備并配合專業(yè)的分析服務(wù)�����,以便做到蠕蟲病毒的第一時(shí)間發(fā)現(xiàn)�����、第一時(shí)間處置�、第一時(shí)間溯源根除。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全��、運(yùn)維平臺(tái)建設(shè)����、動(dòng)漫設(shè)計(jì)����、軟件研發(fā)�����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”�、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面�、可信的方案,業(yè)務(wù)涵蓋咨詢����、評(píng)估、規(guī)劃�、管控、建設(shè)��、培訓(xùn)等�����。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商�����。
