[[241273]]

2018 年 8 月 21 日起，多地發(fā)生 GlobeImposter 勒索病毒事件，攻擊者在突破機構(gòu)和企業(yè)的邊界防御后，利用黑客工具進行內(nèi)網(wǎng)滲透并選擇高價值目標服務(wù)器人工投放勒索病毒。

　　以下為360 企業(yè)安全投稿，雷鋒網(wǎng)編輯。

　　根據(jù)監(jiān)測情況，該攻擊團伙主要攻擊開啟遠程桌面服務(wù)的服務(wù)器，利用密碼抓取工具獲取管理員密碼后對內(nèi)網(wǎng)服務(wù)器發(fā)起掃描并人工投放勒索病毒，導(dǎo)致文件被加密。

　　勒索病毒之前的傳播手段主要以釣魚郵件、網(wǎng)頁掛馬、漏洞利用為主，例如 Locky 在高峰時期僅一家企業(yè)郵箱一天之內(nèi)就遭受到上千萬封勒索釣魚郵件攻擊。

　　然而，從 2016 年下半年開始通過 RDP 弱口令暴力破解服務(wù)器密碼人工投毒（常伴隨共享文件夾感染）逐漸成為主角。

　　2018 年開始，GlobeImposter、Crysis 等幾個感染用戶數(shù)量多，破壞性強的勒索病毒幾乎全都采用這種方式進行傳播，包括 8 月 16 日發(fā)現(xiàn)的 GandCrab 病毒也是采用 RDP 弱口令暴力破解服務(wù)器密碼人工投毒的方式進行勒索。

　　目前，國內(nèi)已經(jīng)有多家重要機構(gòu)受到了攻擊影響，根據(jù)本次事件特征分析，其它同類型單位也面臨風(fēng)險，需要積極應(yīng)對。

　　本次攻擊者主要的突破邊界手段可能為 Windows 遠程桌面服務(wù)密碼暴力破解，在進入內(nèi)網(wǎng)后會進行多種方法獲取登陸憑據(jù)并在內(nèi)網(wǎng)橫向傳播。

　　這些機構(gòu)將更容易遭到攻擊者的侵害

　　符合以下特征的機構(gòu)要當(dāng)心了。

　　1.  存在弱口令且 Windows 遠程桌面服務(wù)(3389 端口)暴露在互聯(lián)網(wǎng)上的機構(gòu)。

　　2.  內(nèi)網(wǎng) Windows 終端、服務(wù)器使用相同或者少數(shù)幾組口令。

　　3.  Windows 服務(wù)器、終端未部署或未及時更新安全加固和殺毒軟件。

　　如何應(yīng)對

　　緊急處置方案

　　1、對于已中招服務(wù)器下線隔離。

　　2、對于未中招服務(wù)器

1）在網(wǎng)絡(luò)邊界防火墻上全局關(guān)閉 3389 端口或 3389 端口只對特定 IP 開放。

2）開啟 Windows 防火墻，盡量關(guān)閉 3389、445、139、135 等不用的高危端口。

3）每臺服務(wù)器設(shè)置唯一口令，且復(fù)雜度要求采用大小寫字母、數(shù)字、特殊符號混合的組合結(jié)構(gòu)，口令位數(shù)足夠長（15 位、兩種組合以上）。

　　 后續(xù)跟進方案

　　1）對于已下線隔離中招服務(wù)器，聯(lián)系專業(yè)技術(shù)服務(wù)機構(gòu)進行日志及樣本分析。

　　服務(wù)器、終端防護

　　1.  所有服務(wù)器、終端應(yīng)強行實施復(fù)雜密碼策略，杜絕弱口令

　　2.  杜絕使用通用密碼管理所有機器

　　3.  安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫

　　4.  及時安裝漏洞補丁

　　5.  服務(wù)器開啟關(guān)鍵日志收集功能，為安全事件的追蹤溯源提供基礎(chǔ)

　　網(wǎng)絡(luò)防護與安全監(jiān)測

　　1.   對內(nèi)網(wǎng)安全域進行合理劃分。各個安全域之間限制嚴格的 ACL，限制橫向移動的范圍。

　　2.   重要業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)庫應(yīng)當(dāng)設(shè)置獨立的安全區(qū)域并做好區(qū)域邊界的安全防御，嚴格限制重要區(qū)域的訪問權(quán)限并關(guān)閉 telnet、snmp 等不必要、不安全的服務(wù)。

　　3.   在網(wǎng)絡(luò)內(nèi)架設(shè) IDS/IPS 設(shè)備，及時發(fā)現(xiàn)、阻斷內(nèi)網(wǎng)的橫向移動行為。

　　4.   在網(wǎng)絡(luò)內(nèi)架設(shè)全流量記錄設(shè)備，以及發(fā)現(xiàn)內(nèi)網(wǎng)的橫向移動行為，并為追蹤溯源提供良好的基礎(chǔ)。

　　應(yīng)用系統(tǒng)防護及數(shù)據(jù)備份

　　1.   應(yīng)用系統(tǒng)層面，需要對應(yīng)用系統(tǒng)進行安全滲透測試與加固，保障應(yīng)用系統(tǒng)自身安全可控。

　　2.   對業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進行及時備份，并驗證備份系統(tǒng)及備份數(shù)據(jù)的可用性。

　　3.   建立安全災(zāi)備預(yù)案，一但核心系統(tǒng)遭受攻擊，需要確保備份業(yè)務(wù)系統(tǒng)可以立即啟用；同時，需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作，辟免主系統(tǒng)和備份系統(tǒng)同時被攻擊，影響業(yè)務(wù)連續(xù)性。