网络安全应急响应典型案例-勒索病毒类
自2017年“永恒之蓝”勒索病毒事件之后,勒索病毒的花样也越来越多,不同类型的变种勒索病毒层出不穷,从近几年的应急响应数据来看,因感染勒索病毒的应急每年都占应急事件的五成以上,利用方式也多以“永恒之蓝”漏洞,暴破和弱口令空口令等方式,受害者一旦感染勒索病毒,重要文件被加密,产生的影响和损失巨大。
一、服务器存漏洞感染勒索病毒
1.事件概述
某日,接到某医院的服务器安全应急响应请求。该机构反馈有几台服务器出现重启/蓝屏现象,应急响应人员初步判定为感染了勒索病毒。
应急响应人员对重启/蓝屏服务器分析后,判定均遭受“永恒之蓝”勒索病毒,同时遭受感染的服务器中部分文件被加密。通过对服务器进行漏洞检查发现服务器存在MS17-010漏洞,同时发现服务器开放了445端口。
通过本次安全事件,医院信息系统暴露了诸多安全隐患,包括未定期开展安全评估工作,导致内部服务器存在严重高危漏洞;安全域划分不明确,较为混乱;安全意识仍需加强等。
2.防护建议
- 周期性对全网进行安全评估工作,及时发现网络主机存在的安全缺陷,修复高风险漏洞,避免类似事件发生;
- 系统、应用相关的用户杜绝使用弱口令;
- 有效加强访问控制ACL策略,细化策略粒度,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问;
- 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作;
- 加强安全意识,提高对网络安全的认识,关注重要漏洞与网络安全事件。
二、终端电脑遭遇钓鱼邮件感染勒索病毒
1.事件概述
某日,到某电网公司的终端安全应急响应请求,有几台办公终端出现部分Office文档、图片文档、pdf文档多了sage后缀,修改后变成乱码。
应急响应人员接到请求后,通过对感染勒索病毒的机器样机进行分析得知,此次感染的勒索病毒的类型为sage2.2勒索病毒。对于感染过程,响应人员分析该勒索病毒可能使用了包含欺骗性消息的恶意电子邮件,消息可以是各种类型,目的皆在使潜在受害者打开这些电子邮件的恶意.zip。
2.防护建议
- 对受感染的机器第一时间进行物理隔离处理;
- 部署终端安全管控软件,实时对终端进行查杀和防护;
- 对个人PC中比较重要的稳定资料进行随时备份,备份应离线存储;
- 继续加强网络与信息安全意识培训教育。意外收到的或来自未知发件人的电子邮件,不要按照文字中的说明进行操作,不要打开任何附件,也不要点击任何链接;
- 操作系统以及安装在计算机上的所有应用程序(例如Adobe Reader,Adobe Flash,Sun Java等)必须始终如一地更新。
三、工业生产网与办公网边界模糊,感染勒索病毒
1.事件概述
某日,某大型制造企业的卧式炉、厚度检测仪、四探针测试仪、铜区等多个车间的机台主机以及MES(制造执行系统)客户端都不同程度地遭受蠕虫病毒攻击,出现蓝屏、重启现象。该企业内部通过处理(机台设备离线、部分MES服务器/客户端更新病毒库,更新主机系统补丁)暂时抑制了病毒的蔓延,但没有彻底解决安全问题,因此紧急向工业安全应急响应中心求救。
工业安全应急响应中心人员到达现场后,经对各生产线的实地查看和网络分析可知,当前网络中存在的主要问题是工业生产网和办公网网络边界模糊不清,MES与工控系统无明显边界,各生产线未进行安全区域划分,在工业生产网中引入了WannaMine3.0、“永恒之蓝”勒索蠕虫变种,感染了大量主机,且勒索蠕虫变种在当前网络中未处于活跃状态(大部分机台设备已离线)。
2.防护建议
- 制定MES(制造执行系统)与工控系统的安全区域,规划制定安全区域划分;
- 隔离感染主机:已中毒计算机关闭所有网络连接,禁用网卡,未进行查杀的且已关机的受害主机,需断网开机;
- 切断传播途径:关闭潜在终端的网络共享端口,关闭异常的外联访问;
- 查杀病毒:使用最新病毒库的终端杀毒软件,进行全盘查杀;
- 修补漏洞:打上“永恒之蓝”漏洞补丁并安装工业主机安全防护系统。
四、服务器配置不当感染勒索病毒
1.事件概述
某日,接到某交通运输行业的应急响应请求,某重要服务器感染勒索病毒,导致业务系统无法正常运行。
应急响应人员抵达现场后,通过对受感染服务器进行分析,发现服务器感染Crysis勒索病毒变种,操作系统桌面及启动项目录中发现病毒样本payload1.exe,系统大部分文件被加密。同时2个境外IP在勒索时间节点利用administrator账号远程桌面登录到了目标主机,人工投毒并进行横向扩散。
通过对现场情况进行分析和对事件进行推断,本次事件主要是由于服务器配置不当,直接对外映射了远程桌面端口,进而攻击者有针对性地对rdp远程登录暴破、人工投毒执行的勒索攻击。
2. 防护建议
- 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;
- 禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;
- 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;
- 建议在服务器或虚拟化环境上部署虚拟化安全管理系统,提升防恶意软件、防暴力破解等安全防护能力;
- 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;
- 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作;
- 加强人员安全意识培养,不要点击来源不明的邮件附件,不从不明网站下载软件。对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。
五、专网被攻击,58家医院连锁感染勒索病毒
1.事件概述
某日,某地骨科医院爆发勒索病毒,不到一天,全省另外57家医院相继爆发勒索病毒,每家医院受感染服务器数量为3-8台不等,受灾医院网络业务瘫痪,无法正常开展诊疗服务。
现场排查显示,此次事件可认定为人工投毒,感染的病毒为Globelmposte家族勒索病毒,受感染医院专网前置机因使用弱口令而被暴破,在成功感染第一家医院后,攻击者利用卫生专网暴破3389登录到各医院专网前置机,再以前置机为跳板向医院内网其他服务器暴破投毒,感染专网未彻底隔离的其他57家医院。
通过本次安全事件,医院信息系统暴露了诸多安全隐患,包括未定期开展安全评估工作,导致内部服务器存在严重高危漏洞;安全域划分不明确,较为混乱;安全意识仍需加强等。
2.防护建议
- 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;
- 禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;
- 有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口;
- 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;
- 后续完善强化安全域划分与隔离策略;修改弱密码;关闭防火墙一切不必要的访问端口;配置完善全流量采集分析能力;
- 构建安全行业生态合作,有效利用威胁情报和应急服务,提升安全防护和处置水平。
六、OA服务器远程桌面映射公网,感染勒索病毒
1. 事件概述
某日,接到某地热电企业应急响应请求,该企业现场包括收费系统、化检站远程监测系统、用户室温检测系统、邮件系统等23个系统被加密。该企业属于大型政企机构,停产后果难以估量,因此发出应急响应请求。
应急人员抵达现场后,对受害主机初步分析,确定病毒为Sodinokibi勒索病毒,且主机日志大多被清除。
通过对多台主机残留日志关联分析,配合上网行为系统访问日志分析,确认感染源头为部署在虚拟化区域的OA服务器。黑客入侵后取得了管理员权限,又以此为跳板攻击其他主机。经现场调研发现,除管理疏忽存在漏洞外,该企业为了方便运维将OA服务器远程桌面映射到了互联网上,并且有弱口令甚至是空口令的情况,导致遭受此次攻击。
2.防护建议
- 定期进行内部人员安全意识培养,禁止将敏感信息、内网端口私自暴露至公网,所有账号系统必须设置口令且禁止使用弱口令;
- 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查。
七、内网主机使用弱口令致感染勒索病毒
1.事件概述
某日,接到某国有企业应急响应请求,该企业感染勒索病毒、多个主机文件被加密,要求协助对攻击路径进行溯源。
应急人员通过对主机/服务器的进程、文件、日志等排查分析,发现主机审核策略配置存在缺陷,部分审计未开启,系统被植入恶意程序等现象,确认多台机器感染Hermes837勒索病毒,被病毒加密后的文件后缀为“Hermes837”。
攻击者利用IPC暴力破解,成功登录内网主机和办公主机,在办公主机进行安装TeamViewer,创建ProcessHacker服务,修改密码等一系列操作,以内网主机为跳板,在SMB服务器安装恶意程序KProcessHacker 。最终导致多台机器感染Hermes837勒索病毒,文件被加密。
2.防护建议
- 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,加强内部人员安全意识,禁止密码重用的情况出现;
- 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化;
- 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;
- 配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在攻击行为发生时,导致无法对攻击途径、行为进行溯源等,加强安全溯源能力;
- 建立安全灾备预案,一旦核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被攻击,影响业务连续性。
八、8003端口映射在公网感染勒索病毒
1.事件概述
某日,接到某医疗卫生行业应急响应求助,现场发现一台服务器被加密,希望对加密服务器进行排查,并追溯攻击来源。
应急人员接到应急请求抵达现场后排查发现,内网2台服务器和11台终端感染Phobos家族最新变种勒索病毒。应用服务器B的应用系统8003端口映射在公网上,内网多台设备均未安装任何补丁,且开放445、3389等常被攻击者利用的端口。
经过一系列排查分析,最终确认攻击者利用应用服务器B存在的已知漏洞,上传webshell后门获得服务器B的应用权限,进行提权后,关闭终端安全软件,上传恶意程序mssecsvr.exe。并以应用服务器B作为跳板机,对内网发起扫描,通过暴力破解获取服务器A的3389端口的账号、密码,远程登录服务器A,上传勒索病毒程序mssecsvr.exe,利用内网开放的445端口将病毒进行横向扩散,最终导致内网多台设备感染勒索病毒被加密。
2.防护建议
- 服务器、操作系统启用密码策略,杜绝使用弱口令,应使用高复杂强度的密码,如包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;
- 禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;
- 关闭服务器3389、445、139、135等不必要的高危端口,建议内网部署如堡垒机等类似的设备,并只允许堡垒机IP访问服务器的远程管理端口(如445、3389、22等);
- 对内网开展安全大检查,检查的范围包括但不限于恶意进程、恶意服务、异常账号以及后门清理、系统及网站漏洞检测等;
- 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。
九、私自下载破解软件致服务器感染勒索病毒
1.事件概述
某日,某公司十余台服务器感染勒索病毒,文件遭勒索加密,因此发起应急响应请求,查询中毒原因。
应急人员抵达现场后,查看加密文件后缀及勒索病毒界面,判断该病毒是Phobos家族勒索病毒。通过现场对多台受害服务器进行日志分析,并与相关工作人员沟通,发现公司内部员工曾使用个人电脑通过非官方渠道下载各类破解版软件,导致个人电脑感染勒索病毒。同时内网多台服务器均开放3389远程桌面服务端口,勒索病毒进入内网后对内网服务器进行RDP暴破,暴破成功后释放勒索病毒,加密文件。
2.防护建议
- 加强内部访问策略,禁止或限制个人电脑进入内网,如业务需要,增加访问控制策略;
- 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;
- 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,禁止通过非官方渠道下载应用软件,及时修复漏洞、安装补丁,将信息安全工作常态化。
十、服务器补丁安装不及时感染勒索病毒
1.事件概述
某日,某药业公司一台服务器遭受勒索病毒攻击,紧急向应急响应中心求助,希望尽快排查并溯源。
安全应急响应中心专家通过对受感染服务器进行日志分析,排查确认感染fair勒索病毒。分析中发现文件最早加密时间为2022-02-20 14:40 左右,排查此时间段前登录记录,发现存在大量国外IP登录的记录。对登录IP进行威胁情报排查,发现大多IP都为恶意IP,其中有恶意IP通过windows登录类型10:远程交互(远程桌面或远程协助访问计算机)的方式登录过受害服务器。
通过对现场情况进行分析发现,该药业公司服务器存在补丁安装不及时、多张网卡情况、根据以上排查信息、也不排除攻击者扫描到相关漏洞进行攻击的可能性。
2.防护建议
- 对已被感染勒索病毒的服务器进行断网处理,并进行隔离,以免进一步感染其他主机。对于未中招服务器,尽量关闭不常用的高危端口;
- 有效加强访问控制策略,按区域按业务严格限制各个网络区域以及服务器之间的访问,在服务器部署工业主机安全防护系统,使用白名单的机制只允许业务必要端口开放;
- 部署工业安全监测系统,进行镜像流量分析和威胁检测,及时发现网络中的安全风险,同时加强追踪溯源能力,提供可靠的追溯依据。
十一、擅自修改网络配置致服务器感染勒索病毒
1.事件概述
某日,接到医疗行业某机构应急响应求助,现场一台刚上线服务器感染勒索病毒,所有文件被加密。
应急人员通过对加密文件进行查看,确认受害服务器感染的是Phobos勒索病毒,文件加密时间为事发当日凌晨4点。应急人员对受害服务器日志进行分析发现,从事发前一周开始,公网IP(x.x.x.75)持续对受害服务器RDP服务进行账号密码暴力破解,并于事发前一晚20点第一次登录成功。事发当日凌晨1点,公网IP(x.x.x.75)再次登录RDP服务账号,使用黑客工具强制关闭服务器中安装的杀毒软件,向内网进行了横向渗透、端口扫描及RDP暴破等行为,但均利用失败,并于事发当天凌晨3点向受害服务器释放勒索病毒。
最终发现,正常运维人员访问RDP服务需要通过堡垒机访问,运维人员为了方便管理,将RDP服务8735端口的网络流量通过netsh端口转发到服务器3389端口到公网,导致RDP服务开放至公网被攻击者利用。
2.防护建议
- 定期进行内部人员安全意识培训,禁止擅自修改服务器配置,禁止使用弱密码等;
- 服务器、操作系统启用密码策略,杜绝使用弱口令,应使用高复杂强度的密码,如包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;
- 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;
- 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;
- 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化。
十二、用户名口令被暴力破解感染勒索病毒
1.事件概述
某日,接到某政府部门的应急响应求助,要求对被勒索服务器进行排查分析并溯源。
应急人员通过查看加密文件,确认感染VoidCrypt勒索病毒。对多台被感染服务器进行日志分析,发现存在大量用户名口令暴破并暴破成功的记录。查看服务器C主机进程发现存在FRP代理程序,与运维管理员沟通了解到,运维管理员为了方便管理将服务器C的3389远程桌面端口映射到了公网。
经排查研判后最终确定,攻击者利用服务器C对外开放的3389端口对用户名和密码进行暴力破解,并成功获取服务器C的控制权,进而以服务器C作为跳板,对内网进行小规模扫描暴破获取服务器B的权限,再进一步以服务器B作为跳板,继续对内网进行扫描暴破获取服务器A的权限,利用服务器A为跳板机进行内网暴破攻击,在获得其他主机用户名口令后,通过远程登录执行勒索程序。
2.防护建议
- 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;
- 建议安装相应的防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力;
- 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化;
- 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;
- 对内网的安全域进行合理划分,各个安全域之间限制严格的ACL,限制横向移动的范围;
- 建立安全灾备预案,一旦核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被攻击,影响业务连续性。