需要积极应对,以及发现内网的横向移动行为,破坏性强的勒索病毒几乎全都采用这种方式进行传播,360企业安全专家提供了以下处置建议。 二、后续跟进方案 1)对于已下线隔离中招服务器, 360企业安全专家称, 3. 建立安全灾备预案,安全防护本身是一个动态的对抗过程。 根据本次事件特征分析,及时发现安全薄弱环节, 3)每台服务器设置唯一口令,GlobeImposter、Crysis等几个感染用户数量多, 针对该事件,需要做好备份系统与主系统的安全隔离工作,一但核心系统遭受攻击,口令位数足够长(15位、两种组合以上),同时机构的内部网络中不运行不明来历的设备接入,国内已经有多家重要机构受到了攻击影响,多地发生GlobeImposter勒索病毒事件,经济产业,在以上安全加固措施的基础上,联系专业技术服务机构进行日志及样本分析。 及时发现、阻断内网的横向移动行为。 利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。 本次攻击者主要的突破边界手段可能为Windows远程桌面服务密码暴力破解,然而, 2)开启Windows防火墙,各个安全域之间限制严格的 ACL,需要确保备份业务系统可以立即启用;同时, 该专家介绍,导致文件被加密,从2016年下半年开始通过RDP弱口令暴力破解服务器密码人工投毒(常伴随共享文件夹感染)逐渐成为主角, 2.内网Windows终端、服务器使用相同或者少数几组口令,限制横向移动的范围,尽量关闭3389、445、139、135等不用的高危端口, 8月23日电 360企业安全监测到2018年8月21日起,日常工作中,在进入内网后会进行多种方法获取登陆凭据并在内网横向传播,保障应用系统自身安全可控, 2. 重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,攻击者在突破机构和企业的边界防御后,为安全事件的追踪溯源提供基础 网络防护与安全监测 1. 对内网安全域进行合理划分,勒索病毒之前的传播手段主要以钓鱼邮件、网页挂马、漏洞利用为主, 2、对于未中招服务器 1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。 包括8月16日发现的GandCrab病毒也是采用RDP弱口令暴力破解服务器密码人工投毒的方式进行勒索,利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒,还需要加强系统使用过程的管理与网络安全状态的实时监测: 电脑中不使用不明来历的U盘、移动硬盘等存储设备;不接入公共网络,因此符合以下特征的机构将更容易遭到攻击者的侵害: 1.存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构, 3.Windows服务器、终端未部署或未及时更新安全加固和杀毒软件, 此攻击团伙主要攻击开启远程桌面服务的服务器,2018年开始,影响业务连续性,例如Locky在高峰时期仅一家企业邮箱一天之内就遭受到上千万封勒索钓鱼邮件攻击,时刻保持系统的安全维持在一个相对较高的水平;(类似定期体检) 。 据360企业安全专家介绍, 2. 对业务系统及数据进行及时备份,并为追踪溯源提供良好的基 |