[[241273]]

2018 年 8 月 21 日起，多地發(fā)生 GlobeImposter 勒索病毒事件，攻擊者在突破機(jī)構(gòu)和企業(yè)的邊界防御后，利用黑客工具進(jìn)行內(nèi)網(wǎng)滲透并選擇高價(jià)值目標(biāo)服務(wù)器人工投放勒索病毒。

　　以下為360 企業(yè)安全投稿，雷鋒網(wǎng)編輯。

　　根據(jù)監(jiān)測情況，該攻擊團(tuán)伙主要攻擊開啟遠(yuǎn)程桌面服務(wù)的服務(wù)器，利用密碼抓取工具獲取管理員密碼后對(duì)內(nèi)網(wǎng)服務(wù)器發(fā)起掃描并人工投放勒索病毒，導(dǎo)致文件被加密。

　　勒索病毒之前的傳播手段主要以釣魚郵件、網(wǎng)頁掛馬、漏洞利用為主，例如 Locky 在高峰時(shí)期僅一家企業(yè)郵箱一天之內(nèi)就遭受到上千萬封勒索釣魚郵件攻擊。

　　然而，從 2016 年下半年開始通過 RDP 弱口令暴力破解服務(wù)器密碼人工投毒（常伴隨共享文件夾感染）逐漸成為主角。

　　2018 年開始，GlobeImposter、Crysis 等幾個(gè)感染用戶數(shù)量多，破壞性強(qiáng)的勒索病毒幾乎全都采用這種方式進(jìn)行傳播，包括 8 月 16 日發(fā)現(xiàn)的 GandCrab 病毒也是采用 RDP 弱口令暴力破解服務(wù)器密碼人工投毒的方式進(jìn)行勒索。

　　目前，國內(nèi)已經(jīng)有多家重要機(jī)構(gòu)受到了攻擊影響，根據(jù)本次事件特征分析，其它同類型單位也面臨風(fēng)險(xiǎn)，需要積極應(yīng)對(duì)。

　　本次攻擊者主要的突破邊界手段可能為 Windows 遠(yuǎn)程桌面服務(wù)密碼暴力破解，在進(jìn)入內(nèi)網(wǎng)后會(huì)進(jìn)行多種方法獲取登陸憑據(jù)并在內(nèi)網(wǎng)橫向傳播。

　　這些機(jī)構(gòu)將更容易遭到攻擊者的侵害

　　符合以下特征的機(jī)構(gòu)要當(dāng)心了。

　　1.  存在弱口令且 Windows 遠(yuǎn)程桌面服務(wù)(3389 端口)暴露在互聯(lián)網(wǎng)上的機(jī)構(gòu)。

　　2.  內(nèi)網(wǎng) Windows 終端、服務(wù)器使用相同或者少數(shù)幾組口令。

　　3.  Windows 服務(wù)器、終端未部署或未及時(shí)更新安全加固和殺毒軟件。

　　如何應(yīng)對(duì)

　　緊急處置方案

　　1、對(duì)于已中招服務(wù)器下線隔離。

　　2、對(duì)于未中招服務(wù)器

1）在網(wǎng)絡(luò)邊界防火墻上全局關(guān)閉 3389 端口或 3389 端口只對(duì)特定 IP 開放。

2）開啟 Windows 防火墻，盡量關(guān)閉 3389、445、139、135 等不用的高危端口。

3）每臺(tái)服務(wù)器設(shè)置唯一口令，且復(fù)雜度要求采用大小寫字母、數(shù)字、特殊符號(hào)混合的組合結(jié)構(gòu)，口令位數(shù)足夠長（15 位、兩種組合以上）。

　　 后續(xù)跟進(jìn)方案

　　1）對(duì)于已下線隔離中招服務(wù)器，聯(lián)系專業(yè)技術(shù)服務(wù)機(jī)構(gòu)進(jìn)行日志及樣本分析。

　　服務(wù)器、終端防護(hù)

　　1.  所有服務(wù)器、終端應(yīng)強(qiáng)行實(shí)施復(fù)雜密碼策略，杜絕弱口令

　　2.  杜絕使用通用密碼管理所有機(jī)器

　　3.  安裝殺毒軟件、終端安全管理軟件并及時(shí)更新病毒庫

　　4.  及時(shí)安裝漏洞補(bǔ)丁

　　5.  服務(wù)器開啟關(guān)鍵日志收集功能，為安全事件的追蹤溯源提供基礎(chǔ)

　　網(wǎng)絡(luò)防護(hù)與安全監(jiān)測

　　1.   對(duì)內(nèi)網(wǎng)安全域進(jìn)行合理劃分。各個(gè)安全域之間限制嚴(yán)格的 ACL，限制橫向移動(dòng)的范圍。

　　2.   重要業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)庫應(yīng)當(dāng)設(shè)置獨(dú)立的安全區(qū)域并做好區(qū)域邊界的安全防御，嚴(yán)格限制重要區(qū)域的訪問權(quán)限并關(guān)閉 telnet、snmp 等不必要、不安全的服務(wù)。

　　3.   在網(wǎng)絡(luò)內(nèi)架設(shè) IDS/IPS 設(shè)備，及時(shí)發(fā)現(xiàn)、阻斷內(nèi)網(wǎng)的橫向移動(dòng)行為。

　　4.   在網(wǎng)絡(luò)內(nèi)架設(shè)全流量記錄設(shè)備，以及發(fā)現(xiàn)內(nèi)網(wǎng)的橫向移動(dòng)行為，并為追蹤溯源提供良好的基礎(chǔ)。

　　應(yīng)用系統(tǒng)防護(hù)及數(shù)據(jù)備份

　　1.   應(yīng)用系統(tǒng)層面，需要對(duì)應(yīng)用系統(tǒng)進(jìn)行安全滲透測試與加固，保障應(yīng)用系統(tǒng)自身安全可控。

　　2.   對(duì)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進(jìn)行及時(shí)備份，并驗(yàn)證備份系統(tǒng)及備份數(shù)據(jù)的可用性。

　　3.   建立安全災(zāi)備預(yù)案，一但核心系統(tǒng)遭受攻擊，需要確保備份業(yè)務(wù)系統(tǒng)可以立即啟用；同時(shí)，需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作，辟免主系統(tǒng)和備份系統(tǒng)同時(shí)被攻擊，影響業(yè)務(wù)連續(xù)性。