360企業安全監測到2018年8月21日起，多地發生GlobeImposter勒索病毒事件，攻擊者在突破機構和企業的邊界防御后，利用黑客工具進行內網滲透并選擇高價值目標服務器人工投放勒索病毒，360安全監測與響應中心對該事件的風險評級為高危。

此攻擊團伙主要攻擊開啟遠程桌面服務的服務器，利用密碼抓取工具獲取管理員密碼后對內網服務器發起掃描并人工投放勒索病毒，導致文件被加密。

據360企業安全專家介紹，勒索病毒之前的傳播手段主要以釣魚郵件、網頁掛馬、漏洞利用為主，例如Locky在高峰時期僅一家企業郵箱一天之內就遭受到上千萬封勒索釣魚郵件攻擊。然而，從2016年下半年開始通過RDP弱口令暴力破解服務器密碼人工投毒(常伴隨共享文件夾感染)逐漸成為主角。2018年開始，GlobeImposter、Crysis等幾個感染用戶數量多，破壞性強的勒索病毒幾乎全都采用這種方式進行傳播，包括8月16日發現的GandCrab病毒也是采用RDP弱口令暴力破解服務器密碼人工投毒的方式進行勒索。

該專家介紹，國內已經有多家重要機構受到了攻擊影響，根據本次事件特征分析，其它同類型單位也面臨風險，需要積極應對。

本次攻擊者主要的突破邊界手段可能為Windows遠程桌面服務密碼暴力破解，在進入內網后會進行多種方法獲取登陸憑據并在內網橫向傳播。因此符合以下特征的機構將更容易遭到攻擊者的侵害：

• 存在弱口令且Windows遠程桌面服務(3389端口)暴露在互聯網上的機構。
• 內網Windows終端、服務器使用相同或者少數幾組口令。
• Windows服務器、終端未部署或未及時更新安全加固和殺毒軟件。

針對該事件，360企業安全專家提供了以下處置建議。

一、緊急處置方案

1. 對于已中招服務器

• 下線隔離。

2. 對于未中招服務器

• 在網絡邊界防火墻上全局關閉3389端口或3389端口只對特定IP開放。
• 開啟Windows防火墻，盡量關閉3389、445、139、135等不用的高危端口。
• 每臺服務器設置唯一口令，且復雜度要求采用大小寫字母、數字、特殊符號混合的組合結構，口令位數足夠長(15位、兩種組合以上)。

二、后續跟進方案

對于已下線隔離中招服務器，聯系專業技術服務機構進行日志及樣本分析。

1. 服務器、終端防護

• 所有服務器、終端應強行實施復雜密碼策略，杜絕弱口令
• 杜絕使用通用密碼管理所有機器
• 安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫
• 及時安裝漏洞補丁
• 服務器開啟關鍵日志收集功能，為安全事件的追蹤溯源提供基礎

2. 網絡防護與安全監測

• 對內網安全域進行合理劃分。各個安全域之間限制嚴格的 ACL，限制橫向移動的范圍。
• 重要業務系統及核心數據庫應當設置獨立的安全區域并做好區域邊界的安全防御，嚴格限制重要區域的訪問權限并關閉telnet、snmp等不必要、不安全的服務。
• 在網絡內架設 IDS/IPS 設備，及時發現、阻斷內網的橫向移動行為。
• 在網絡內架設全流量記錄設備，以及發現內網的橫向移動行為，并為追蹤溯源提供良好的基礎。

3. 應用系統防護及數據備份

• 應用系統層面，需要對應用系統進行安全滲透測試與加固，保障應用系統自身安全可控。
• 對業務系統及數據進行及時備份，并驗證備份系統及備份數據的可用性。
• 建立安全災備預案，一但核心系統遭受攻擊，需要確保備份業務系統可以立即啟用;同時，需要做好備份系統與主系統的安全隔離工作，辟免主系統和備份系統同時被攻擊，影響業務連續性。

360企業安全專家稱，安全防護本身是一個動態的對抗過程，在以上安全加固措施的基礎上，日常工作中，還需要加強系統使用過程的管理與網絡安全狀態的實時監測：

• 電腦中不使用不明來歷的U盤、移動硬盤等存儲設備;不接入公共網絡，同時機構的內部網絡中不運行不明來歷的設備接入。
• 要常態化的開展安全檢查和評估，及時發現安全薄弱環節，及時修補安全漏洞和安全管理機制上的不足，時刻保持系統的安全維持在一個相對較高的水平;(類似定期體檢)