網絡安全應急響應典型案例-勒索病毒類
自2017年“永恒之藍”勒索病毒事件之后,勒索病毒的花樣也越來越多,不同類型的變種勒索病毒層出不窮,從近幾年的應急響應數據來看,因感染勒索病毒的應急每年都占應急事件的五成以上,利用方式也多以“永恒之藍”漏洞,暴破和弱口令空口令等方式,受害者一旦感染勒索病毒,重要文件被加密,產生的影響和損失巨大。
一、服務器存漏洞感染勒索病毒
1.事件概述
某日,接到某醫院的服務器安全應急響應請求。該機構反饋有幾臺服務器出現重啟/藍屏現象,應急響應人員初步判定為感染了勒索病毒。
應急響應人員對重啟/藍屏服務器分析后,判定均遭受“永恒之藍”勒索病毒,同時遭受感染的服務器中部分文件被加密。通過對服務器進行漏洞檢查發現服務器存在MS17-010漏洞,同時發現服務器開放了445端口。
通過本次安全事件,醫院信息系統暴露了諸多安全隱患,包括未定期開展安全評估工作,導致內部服務器存在嚴重高危漏洞;安全域劃分不明確,較為混亂;安全意識仍需加強等。
2.防護建議
- 周期性對全網進行安全評估工作,及時發現網絡主機存在的安全缺陷,修復高風險漏洞,避免類似事件發生;
- 系統、應用相關的用戶杜絕使用弱口令;
- 有效加強訪問控制ACL策略,細化策略粒度,采用白名單機制只允許開放特定的業務必要端口,其他端口一律禁止訪問,僅管理員IP可對管理端口進行訪問;
- 加強日常安全巡檢制度,定期對系統配置、網絡設備配合、安全日志以及安全策略落實情況進行檢查,常態化信息安全工作;
- 加強安全意識,提高對網絡安全的認識,關注重要漏洞與網絡安全事件。
二、終端電腦遭遇釣魚郵件感染勒索病毒
1.事件概述
某日,到某電網公司的終端安全應急響應請求,有幾臺辦公終端出現部分Office文檔、圖片文檔、pdf文檔多了sage后綴,修改后變成亂碼。
應急響應人員接到請求后,通過對感染勒索病毒的機器樣機進行分析得知,此次感染的勒索病毒的類型為sage2.2勒索病毒。對于感染過程,響應人員分析該勒索病毒可能使用了包含欺騙性消息的惡意電子郵件,消息可以是各種類型,目的皆在使潛在受害者打開這些電子郵件的惡意.zip。
2.防護建議
- 對受感染的機器第一時間進行物理隔離處理;
- 部署終端安全管控軟件,實時對終端進行查殺和防護;
- 對個人PC中比較重要的穩定資料進行隨時備份,備份應離線存儲;
- 繼續加強網絡與信息安全意識培訓教育。意外收到的或來自未知發件人的電子郵件,不要按照文字中的說明進行操作,不要打開任何附件,也不要點擊任何鏈接;
- 操作系統以及安裝在計算機上的所有應用程序(例如Adobe Reader,Adobe Flash,Sun Java等)必須始終如一地更新。
三、工業生產網與辦公網邊界模糊,感染勒索病毒
1.事件概述
某日,某大型制造企業的臥式爐、厚度檢測儀、四探針測試儀、銅區等多個車間的機臺主機以及MES(制造執行系統)客戶端都不同程度地遭受蠕蟲病毒攻擊,出現藍屏、重啟現象。該企業內部通過處理(機臺設備離線、部分MES服務器/客戶端更新病毒庫,更新主機系統補丁)暫時抑制了病毒的蔓延,但沒有徹底解決安全問題,因此緊急向工業安全應急響應中心求救。
工業安全應急響應中心人員到達現場后,經對各生產線的實地查看和網絡分析可知,當前網絡中存在的主要問題是工業生產網和辦公網網絡邊界模糊不清,MES與工控系統無明顯邊界,各生產線未進行安全區域劃分,在工業生產網中引入了WannaMine3.0、“永恒之藍”勒索蠕蟲變種,感染了大量主機,且勒索蠕蟲變種在當前網絡中未處于活躍狀態(大部分機臺設備已離線)。
2.防護建議
- 制定MES(制造執行系統)與工控系統的安全區域,規劃制定安全區域劃分;
- 隔離感染主機:已中毒計算機關閉所有網絡連接,禁用網卡,未進行查殺的且已關機的受害主機,需斷網開機;
- 切斷傳播途徑:關閉潛在終端的網絡共享端口,關閉異常的外聯訪問;
- 查殺病毒:使用最新病毒庫的終端殺毒軟件,進行全盤查殺;
- 修補漏洞:打上“永恒之藍”漏洞補丁并安裝工業主機安全防護系統。
四、服務器配置不當感染勒索病毒
1.事件概述
某日,接到某交通運輸行業的應急響應請求,某重要服務器感染勒索病毒,導致業務系統無法正常運行。
應急響應人員抵達現場后,通過對受感染服務器進行分析,發現服務器感染Crysis勒索病毒變種,操作系統桌面及啟動項目錄中發現病毒樣本payload1.exe,系統大部分文件被加密。同時2個境外IP在勒索時間節點利用administrator賬號遠程桌面登錄到了目標主機,人工投毒并進行橫向擴散。
通過對現場情況進行分析和對事件進行推斷,本次事件主要是由于服務器配置不當,直接對外映射了遠程桌面端口,進而攻擊者有針對性地對rdp遠程登錄暴破、人工投毒執行的勒索攻擊。
2. 防護建議
- 系統、應用相關用戶杜絕使用弱口令,應使用高復雜強度的密碼,盡量包含大小寫字母、數字、特殊符號等的混合密碼,加強管理員安全意識,禁止密碼重用的情況出現;
- 禁止服務器主動發起外部連接請求,對于需要向外部服務器推送共享數據的,應使用白名單的方式,在出口防火墻加入相關策略,對主動連接IP范圍進行限制;
- 部署高級威脅監測設備,及時發現惡意網絡流量,同時可進一步加強追蹤溯源能力,對安全事件發生時可提供可靠的追溯依據;
- 建議在服務器或虛擬化環境上部署虛擬化安全管理系統,提升防惡意軟件、防暴力破解等安全防護能力;
- 定期開展對系統、應用以及網絡層面的安全評估、滲透測試以及代碼審計工作,主動發現目前系統、應用存在的安全隱患;
- 加強日常安全巡檢制度,定期對系統配置、網絡設備配合、安全日志以及安全策略落實情況進行檢查,常態化信息安全工作;
- 加強人員安全意識培養,不要點擊來源不明的郵件附件,不從不明網站下載軟件。對來源不明的文件包括郵件附件、上傳文件等要先殺毒處理。
五、專網被攻擊,58家醫院連鎖感染勒索病毒
1.事件概述
某日,某地骨科醫院爆發勒索病毒,不到一天,全省另外57家醫院相繼爆發勒索病毒,每家醫院受感染服務器數量為3-8臺不等,受災醫院網絡業務癱瘓,無法正常開展診療服務。
現場排查顯示,此次事件可認定為人工投毒,感染的病毒為Globelmposte家族勒索病毒,受感染醫院專網前置機因使用弱口令而被暴破,在成功感染第一家醫院后,攻擊者利用衛生專網暴破3389登錄到各醫院專網前置機,再以前置機為跳板向醫院內網其他服務器暴破投毒,感染專網未徹底隔離的其他57家醫院。
通過本次安全事件,醫院信息系統暴露了諸多安全隱患,包括未定期開展安全評估工作,導致內部服務器存在嚴重高危漏洞;安全域劃分不明確,較為混亂;安全意識仍需加強等。
2.防護建議
- 系統、應用相關用戶杜絕使用弱口令,應使用高復雜強度的密碼,盡量包含大小寫字母、數字、特殊符號等的混合密碼,加強管理員安全意識,禁止密碼重用的情況出現;
- 禁止服務器主動發起外部連接請求,對于需要向外部服務器推送共享數據的,應使用白名單的方式,在出口防火墻加入相關策略,對主動連接IP范圍進行限制;
- 有效加強訪問控制ACL策略,細化策略粒度,按區域按業務嚴格限制各個網絡區域以及服務器之間的訪問,采用白名單機制只允許開放特定的業務必要端口,其他端口一律禁止訪問,僅管理員IP可對管理端口進行訪問,如FTP、數據庫服務、遠程桌面等管理端口;
- 部署高級威脅監測設備,及時發現惡意網絡流量,同時可進一步加強追蹤溯源能力,對安全事件發生時可提供可靠的追溯依據;
- 后續完善強化安全域劃分與隔離策略;修改弱密碼;關閉防火墻一切不必要的訪問端口;配置完善全流量采集分析能力;
- 構建安全行業生態合作,有效利用威脅情報和應急服務,提升安全防護和處置水平。
六、OA服務器遠程桌面映射公網,感染勒索病毒
1. 事件概述
某日,接到某地熱電企業應急響應請求,該企業現場包括收費系統、化檢站遠程監測系統、用戶室溫檢測系統、郵件系統等23個系統被加密。該企業屬于大型政企機構,停產后果難以估量,因此發出應急響應請求。
應急人員抵達現場后,對受害主機初步分析,確定病毒為Sodinokibi勒索病毒,且主機日志大多被清除。
通過對多臺主機殘留日志關聯分析,配合上網行為系統訪問日志分析,確認感染源頭為部署在虛擬化區域的OA服務器。黑客入侵后取得了管理員權限,又以此為跳板攻擊其他主機。經現場調研發現,除管理疏忽存在漏洞外,該企業為了方便運維將OA服務器遠程桌面映射到了互聯網上,并且有弱口令甚至是空口令的情況,導致遭受此次攻擊。
2.防護建議
- 定期進行內部人員安全意識培養,禁止將敏感信息、內網端口私自暴露至公網,所有賬號系統必須設置口令且禁止使用弱口令;
- 加強日常安全巡檢制度,定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查。
七、內網主機使用弱口令致感染勒索病毒
1.事件概述
某日,接到某國有企業應急響應請求,該企業感染勒索病毒、多個主機文件被加密,要求協助對攻擊路徑進行溯源。
應急人員通過對主機/服務器的進程、文件、日志等排查分析,發現主機審核策略配置存在缺陷,部分審計未開啟,系統被植入惡意程序等現象,確認多臺機器感染Hermes837勒索病毒,被病毒加密后的文件后綴為“Hermes837”。
攻擊者利用IPC暴力破解,成功登錄內網主機和辦公主機,在辦公主機進行安裝TeamViewer,創建ProcessHacker服務,修改密碼等一系列操作,以內網主機為跳板,在SMB服務器安裝惡意程序KProcessHacker 。最終導致多臺機器感染Hermes837勒索病毒,文件被加密。
2.防護建議
- 系統、應用相關用戶杜絕使用弱口令,應使用高復雜強度的密碼,加強內部人員安全意識,禁止密碼重用的情況出現;
- 加強日常安全巡檢制度,定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查,及時修復漏洞、安裝補丁,將信息安全工作常態化;
- 建議在服務器上部署安全加固軟件,通過限制異常登錄行為、開啟防暴破功能、禁用或限用危險端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系統安全基線,防范黑客入侵;
- 配置并開啟相關關鍵系統、應用日志,對系統日志進行定期異地歸檔、備份,避免在攻擊行為發生時,導致無法對攻擊途徑、行為進行溯源等,加強安全溯源能力;
- 建立安全災備預案,一旦核心系統遭受攻擊,需要確保備份業務系統可以立即啟用;同時,需要做好備份系統與主系統的安全隔離工作,避免主系統和備份系統同時被攻擊,影響業務連續性。
八、8003端口映射在公網感染勒索病毒
1.事件概述
某日,接到某醫療衛生行業應急響應求助,現場發現一臺服務器被加密,希望對加密服務器進行排查,并追溯攻擊來源。
應急人員接到應急請求抵達現場后排查發現,內網2臺服務器和11臺終端感染Phobos家族最新變種勒索病毒。應用服務器B的應用系統8003端口映射在公網上,內網多臺設備均未安裝任何補丁,且開放445、3389等常被攻擊者利用的端口。
經過一系列排查分析,最終確認攻擊者利用應用服務器B存在的已知漏洞,上傳webshell后門獲得服務器B的應用權限,進行提權后,關閉終端安全軟件,上傳惡意程序mssecsvr.exe。并以應用服務器B作為跳板機,對內網發起掃描,通過暴力破解獲取服務器A的3389端口的賬號、密碼,遠程登錄服務器A,上傳勒索病毒程序mssecsvr.exe,利用內網開放的445端口將病毒進行橫向擴散,最終導致內網多臺設備感染勒索病毒被加密。
2.防護建議
- 服務器、操作系統啟用密碼策略,杜絕使用弱口令,應使用高復雜強度的密碼,如包含大小寫字母、數字、特殊符號等的混合密碼,加強管理員安全意識,禁止密碼重用的情況出現;
- 禁止服務器主動發起外部連接請求,對于需要向外部服務器推送共享數據的,應使用白名單的方式,在出口防火墻加入相關策略,對主動連接IP范圍進行限制;
- 關閉服務器3389、445、139、135等不必要的高危端口,建議內網部署如堡壘機等類似的設備,并只允許堡壘機IP訪問服務器的遠程管理端口(如445、3389、22等);
- 對內網開展安全大檢查,檢查的范圍包括但不限于惡意進程、惡意服務、異常賬號以及后門清理、系統及網站漏洞檢測等;
- 加強日常安全巡檢制度,定期對系統配置、網絡設備配合、安全日志以及安全策略落實情況進行檢查,常態化信息安全工作。
九、私自下載破解軟件致服務器感染勒索病毒
1.事件概述
某日,某公司十余臺服務器感染勒索病毒,文件遭勒索加密,因此發起應急響應請求,查詢中毒原因。
應急人員抵達現場后,查看加密文件后綴及勒索病毒界面,判斷該病毒是Phobos家族勒索病毒。通過現場對多臺受害服務器進行日志分析,并與相關工作人員溝通,發現公司內部員工曾使用個人電腦通過非官方渠道下載各類破解版軟件,導致個人電腦感染勒索病毒。同時內網多臺服務器均開放3389遠程桌面服務端口,勒索病毒進入內網后對內網服務器進行RDP暴破,暴破成功后釋放勒索病毒,加密文件。
2.防護建議
- 加強內部訪問策略,禁止或限制個人電腦進入內網,如業務需要,增加訪問控制策略;
- 建議在服務器上部署安全加固軟件,通過限制異常登錄行為、開啟防暴破功能、禁用或限用危險端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系統安全基線,防范黑客入侵;
- 加強日常安全巡檢制度,定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查,禁止通過非官方渠道下載應用軟件,及時修復漏洞、安裝補丁,將信息安全工作常態化。
十、服務器補丁安裝不及時感染勒索病毒
1.事件概述
某日,某藥業公司一臺服務器遭受勒索病毒攻擊,緊急向應急響應中心求助,希望盡快排查并溯源。
安全應急響應中心專家通過對受感染服務器進行日志分析,排查確認感染fair勒索病毒。分析中發現文件最早加密時間為2022-02-20 14:40 左右,排查此時間段前登錄記錄,發現存在大量國外IP登錄的記錄。對登錄IP進行威脅情報排查,發現大多IP都為惡意IP,其中有惡意IP通過windows登錄類型10:遠程交互(遠程桌面或遠程協助訪問計算機)的方式登錄過受害服務器。
通過對現場情況進行分析發現,該藥業公司服務器存在補丁安裝不及時、多張網卡情況、根據以上排查信息、也不排除攻擊者掃描到相關漏洞進行攻擊的可能性。
2.防護建議
- 對已被感染勒索病毒的服務器進行斷網處理,并進行隔離,以免進一步感染其他主機。對于未中招服務器,盡量關閉不常用的高危端口;
- 有效加強訪問控制策略,按區域按業務嚴格限制各個網絡區域以及服務器之間的訪問,在服務器部署工業主機安全防護系統,使用白名單的機制只允許業務必要端口開放;
- 部署工業安全監測系統,進行鏡像流量分析和威脅檢測,及時發現網絡中的安全風險,同時加強追蹤溯源能力,提供可靠的追溯依據。
十一、擅自修改網絡配置致服務器感染勒索病毒
1.事件概述
某日,接到醫療行業某機構應急響應求助,現場一臺剛上線服務器感染勒索病毒,所有文件被加密。
應急人員通過對加密文件進行查看,確認受害服務器感染的是Phobos勒索病毒,文件加密時間為事發當日凌晨4點。應急人員對受害服務器日志進行分析發現,從事發前一周開始,公網IP(x.x.x.75)持續對受害服務器RDP服務進行賬號密碼暴力破解,并于事發前一晚20點第一次登錄成功。事發當日凌晨1點,公網IP(x.x.x.75)再次登錄RDP服務賬號,使用黑客工具強制關閉服務器中安裝的殺毒軟件,向內網進行了橫向滲透、端口掃描及RDP暴破等行為,但均利用失敗,并于事發當天凌晨3點向受害服務器釋放勒索病毒。
最終發現,正常運維人員訪問RDP服務需要通過堡壘機訪問,運維人員為了方便管理,將RDP服務8735端口的網絡流量通過netsh端口轉發到服務器3389端口到公網,導致RDP服務開放至公網被攻擊者利用。
2.防護建議
- 定期進行內部人員安全意識培訓,禁止擅自修改服務器配置,禁止使用弱密碼等;
- 服務器、操作系統啟用密碼策略,杜絕使用弱口令,應使用高復雜強度的密碼,如包含大小寫字母、數字、特殊符號等的混合密碼,加強管理員安全意識,禁止密碼重用的情況出現;
- 建議在服務器上部署安全加固軟件,通過限制異常登錄行為、開啟防暴破功能、禁用或限用危險端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系統安全基線,防范黑客入侵;
- 部署高級威脅監測設備,及時發現惡意網絡流量,同時可進一步加強追蹤溯源能力,對安全事件發生時可提供可靠的追溯依據;
- 加強日常安全巡檢制度,定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查,及時修復漏洞、安裝補丁,將信息安全工作常態化。
十二、用戶名口令被暴力破解感染勒索病毒
1.事件概述
某日,接到某政府部門的應急響應求助,要求對被勒索服務器進行排查分析并溯源。
應急人員通過查看加密文件,確認感染VoidCrypt勒索病毒。對多臺被感染服務器進行日志分析,發現存在大量用戶名口令暴破并暴破成功的記錄。查看服務器C主機進程發現存在FRP代理程序,與運維管理員溝通了解到,運維管理員為了方便管理將服務器C的3389遠程桌面端口映射到了公網。
經排查研判后最終確定,攻擊者利用服務器C對外開放的3389端口對用戶名和密碼進行暴力破解,并成功獲取服務器C的控制權,進而以服務器C作為跳板,對內網進行小規模掃描暴破獲取服務器B的權限,再進一步以服務器B作為跳板,繼續對內網進行掃描暴破獲取服務器A的權限,利用服務器A為跳板機進行內網暴破攻擊,在獲得其他主機用戶名口令后,通過遠程登錄執行勒索程序。
2.防護建議
- 系統、應用相關用戶杜絕使用弱口令,應使用高復雜強度的密碼,盡量包含大小寫字母、數字、特殊符號等的混合密碼,加強管理員安全意識,禁止密碼重用的情況出現;
- 建議安裝相應的防病毒軟件,及時對病毒庫進行更新,并且定期進行全面掃描,加強服務器上的病毒清除能力;
- 加強日常安全巡檢制度,定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查,及時修復漏洞、安裝補丁,將信息安全工作常態化;
- 建議在服務器上部署安全加固軟件,通過限制異常登錄行為、開啟防暴破功能、禁用或限用危險端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系統安全基線,防范黑客入侵;
- 對內網的安全域進行合理劃分,各個安全域之間限制嚴格的ACL,限制橫向移動的范圍;
- 建立安全災備預案,一旦核心系統遭受攻擊,需要確保備份業務系統可以立即啟用;同時,需要做好備份系統與主系統的安全隔離工作,避免主系統和備份系統同時被攻擊,影響業務連續性。
