緊急預警！多地發生針對高價值伺服器的 GlobeImposter 勒索病毒

雷鋒網按：2018年8月21日起，多地發生 GlobeImposter 勒索病毒事件，攻擊者在突破機構和企業的邊界防禦後，利用黑客工具進行內網滲透並選擇高價值目標伺服器人工投放勒索病毒。

以下為360企業安全投稿，雷鋒網編輯。

根據監測情況，該攻擊團伙主要攻擊開啟遠程桌面服務的伺服器，利用密碼抓取工具獲取管理員密碼後對內網伺服器發起掃描並人工投放勒索病毒，導致文件被加密。

勒索病毒之前的傳播手段主要以釣魚郵件、網頁掛馬、漏洞利用為主，例如 Locky 在高峰時期僅一家企業郵箱一天之內就遭受到上千萬封勒索釣魚郵件攻擊。

然而，從2016年下半年開始通過RDP弱口令暴力破解伺服器密碼人工投毒（常伴隨共享文件夾感染）逐漸成為主角。

2018年開始，GlobeImposter、Crysis等幾個感染用戶數量多，破壞性強的勒索病毒幾乎全都採用這種方式進行傳播，包括8月16日發現的 GandCrab 病毒也是採用RDP弱口令暴力破解伺服器密碼人工投毒的方式進行勒索。

目前，國內已經有多家重要機構受到了攻擊影響，根據本次事件特徵分析，其它同類型單位也面臨風險，需要積極應對。

本次攻擊者主要的突破邊界手段可能為Windows遠程桌面服務密碼暴力破解，在進入內網後會進行多種方法獲取登陸憑據並在內網橫向傳播。

這些機構將更容易遭到攻擊者的侵害

符合以下特徵的機構要當心了。

1. 存在弱口令且Windows遠程桌面服務(3389埠)暴露在互聯網上的機構。

2. 內網Windows終端、伺服器使用相同或者少數幾組口令。

3. Windows伺服器、終端未部署或未及時更新安全加固和殺毒軟體。

如何應對

緊急處置方案

1、對於已中招伺服器下線隔離。

2、對於未中招伺服器

1）在網路邊界防火牆上全局關閉3389埠或3389埠只對特定IP開放。

2）開啟Windows防火牆，盡量關閉3389、445、139、135等不用的高危埠。

3）每台伺服器設置唯一口令，且複雜度要求採用大小寫字母、數字、特殊符號混合的組合結構，口令位數足夠長（15位、兩種組合以上）。

後續跟進方案

1）對於已下線隔離中招伺服器，聯繫專業技術服務機構進行日誌及樣本分析。

伺服器、終端防護

1.  所有伺服器、終端應強行實施複雜密碼策略，杜絕弱口令

2.  杜絕使用通用密碼管理所有機器

3.  安裝殺毒軟體、終端安全管理軟體並及時更新病毒庫

4.  及時安裝漏洞補丁

5.  伺服器開啟關鍵日誌收集功能，為安全事件的追蹤溯源提供基礎

網路防護與安全監測

1.   對內網安全域進行合理劃分。各個安全域之間限制嚴格的 ACL，限制橫向移動的範圍。

2.   重要業務系統及核心資料庫應當設置獨立的安全區域並做好區域邊界的安全防禦，嚴格限制重要區域的訪問許可權並關閉telnet、snmp等不必要、不安全的服務。

3.   在網路內架設 IDS/IPS 設備，及時發現、阻斷內網的橫向移動行為。

4.   在網路內架設全流量記錄設備，以及發現內網的橫向移動行為，並為追蹤溯源提供良好的基礎。

應用系統防護及數據備份

1.   應用系統層面，需要對應用系統進行安全滲透測試與加固，保障應用系統自身安全可控。

2.   對業務系統及數據進行及時備份，並驗證備份系統及備份數據的可用性。

3.   建立安全災備預案，一但核心系統遭受攻擊，需要確保備份業務系統可以立即啟用；同時，需要做好備份系統與主系統的安全隔離工作，辟免主系統和備份系統同時被攻擊，影響業務連續性。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！