-
1 情景案例
-
2 项目分析
互联网行业某客户感染Hive勒索病毒应急事件处置
2022年2月,奇安信应急响应团队接到互联网行业某客户求助,公司内网近百台机器感染勒索病毒,重要数据被加密,客户希望对受害机器进行排查,并溯源入侵途径。
应急人员根据被加密文件后缀、勒索信等内容,确认客户感染Hive勒索病毒,暂时无法解密。通过查看现场终端防护设备及流量监测设备告警,应急人员确认攻击者通过域内下发文件的方式,利用域控服务器D(x.x.x.208)向内网机器下发勒索病毒母体程序123.exe。
应急人员分析现场流量监测设备告警发现,主机A(x.x.x.60)为内网首台失陷机器,攻击者在获取主机A(x.x.x.60)权限后,通过445端口上传远控木马文件和端口扫描工具至主机B(x.x.x.44),而后又利用主机B(x.x.x.44)通过SMB暴破方式获取域控服务器C(x.x.x.52)权限,最终再次利用SMB暴破方式成功登录域控服务器D(x.x.x.208),并且域控服务器C、D中均未安装域服务权限提升漏洞(CVE-2021-42287)的相关安全补丁。
经过一系列排查分析,应急人员确认本次事件因主机A使用者从非官方渠道下载携带木马的恶意软件,从而被攻击者利用,最终通过域控服务器D(x.x.x.208)向内网机器下发Hive勒索病毒文件,导致内网近百台机器被加密。
防护建议
建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;
系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;
加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化;
建议安装防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器病毒预防、抑制及清除能力。
案例链接:https://blog.csdn.net/glb111/article/details/130021065
网络安全你、我、他
通过分析此案例,我们能够认识到提升网络安全意识的重要性,并且应当定期对员工进行安全教育员工构成企业网络安全的首要防线。他们必须掌握识别钓鱼邮件、恶意链接及其他普遍存在的网络威胁的技能。通过定期的安全教育,员工能够掌握最新的网络安全最佳实践,进而提升整个组织的安全防御能力。教育内容应涵盖密码管理、安全网络行为规范以及应对安全事件的策略。定期执行网络安全审计,以便及时发现并修正潜在的安全漏洞。网络安全审计是一种系统性的检查流程,目的在于评估并优化组织的网络安全状况。通过定期审计,能够识别系统中的漏洞和薄弱环节,并采取相应措施进行修正。这不仅涉及技术层面的检查,还应包括对安全政策和程序的审视,确保它们持续满足当前的安全需求。构建应急响应机制,以便在网络安全事件发生时迅速采取行动。在网络安全事件发生时,时间至关重要。一个有效的应急响应计划能够确保在检测到安全事件时,能够迅速采取措施,限制损害并尽快恢复正常运营。这包括预先设定的角色与职责、沟通方案以及恢复策略。通过演练和测试这些计划,组织可以确保在真实的网络安全事件发生时,能够有效地应对。
