黑產競爭激烈:一台伺服器遭遇兩撥黑客進攻,伺服器被加密算誰的呢?
0x1 概述
騰訊御見威脅情報中心日前接到某公司反饋,公司一台Windows伺服器中了勒索病毒,數據被加密,攻擊者留言勒索0.3比特幣。
騰訊安全專家現場查看該公司被加密破壞的伺服器,發現數據已被GlobeImposter勒索病毒家族加密。事件起因疑似由於該公司防火牆配置存在風險,導致伺服器埠暴露,被黑客掃描攻擊。騰訊安全專家檢查被加密伺服器系統的登錄日誌,還意外發現,這台伺服器是被兩撥入侵者嘗試遠程爆破攻擊。
兩個攻擊團夥同時對這台伺服器進行爆破攻擊
0x2 事件分析
觀察被攻擊伺服器系統日誌,發現攻擊團伙A在2018-4-13開始使用RDP爆破的方式對伺服器間斷性的爆破嘗試,然而自始至終並沒有爆破成功。通過系統日誌可知A團伙爆破使用了以下賬戶名:
user2
praxis
admin3
rendszergazda
sicfe
Kawase
......
而攻擊團伙B在2018-4-14開始SMB爆破,在2018-4-15 15:01:33爆破成功而後在2018-04-17 22:18:35成功登陸伺服器,掃描使用的ip為:185.156.177.18、94.229.68.134,地址分別來自英國和俄羅斯。團伙B爆破使用以下賬戶名:
admin
user
usuario
administrador
guest
administrateur
Administrator
……
團伙B爆破登錄成功
爆破登錄伺服器成功後的團伙B向伺服器植入了GlobeImposter家族勒索病毒,該勒索病毒家族使用了RSA+AES加密方式,加密過程中涉及兩對RSA密鑰(分別為黑客公私鑰和用戶公私鑰)和一對AES密鑰。
黑客RSA密鑰用於加密用戶RSA密鑰,用戶RSA密鑰用於加密AES密鑰,AES密鑰用於加密文件內容。所以,如果數據被該勒索病毒加密,在攻擊者沒有公布手中私鑰的前提下,以目前技術手段暫無法暴力破解解密文件。
GlobeImposter加密主要流程
被加密伺服器留言
幸運的是,由於某些原因,本次事件受害企業伺服器核心數據未被加密。企業虛驚一場,該公司運維人員已通過重裝系統,恢複核心數據的方式恢復正常業務。兩團伙費勁心思最終也是竹籃打水一場空。
對比以往類似事件來看,本次勒索金額並不是太多,這也可能是該團伙考慮到核心數據並未加密後開出的一個價碼。雖然如此,但企業依然要提高安全意識,做好安全防護和業務備份,避免給黑客入侵以可乘之機。
黑客為了獲取高數額的不義之財,通常會花費大量時間成本針對政企機構實施耗時長久的攻擊。如果該類機構缺乏安全意識,則很容易被黑客成功偷襲。
管家監控3389攻擊趨勢
管家監控445攻擊趨勢
0x4 安全建議
針對此類威脅,騰訊御見威脅情報中心給出以下安全建議。
1、關閉伺服器不必要啟用的埠;
2、切勿使用弱密碼登錄,並且各伺服器不要使用相同或相似的簡單密碼登錄;
3、將內外網隔離,對外伺服器盡量與內網隔離,防止對外伺服器被入侵後,黑客能進一步滲透內網;
4、建立白名單,重要數據、系統、機器只允許授權ip訪問;
5、及時修復系統高危漏洞。
掃描IP
185.156.177.18
94.229.68.134
TAG:騰訊御見威脅情報中心 |