自2017年“永恒之藍(lán)”勒索病毒事件之后，勒索病毒的花樣也越來越多，不同類型的變種勒索病毒層出不窮，從近幾年的應(yīng)急響應(yīng)數(shù)據(jù)來看，因感染勒索病毒的應(yīng)急每年都占應(yīng)急事件的五成以上，利用方式也多以“永恒之藍(lán)”漏洞，暴破和弱口令空口令等方式，受害者一旦感染勒索病毒，重要文件被加密，產(chǎn)生的影響和損失巨大。

一、服務(wù)器存漏洞感染勒索病毒

1.事件概述

某日，接到某醫(yī)院的服務(wù)器安全應(yīng)急響應(yīng)請求。該機(jī)構(gòu)反饋有幾臺服務(wù)器出現(xiàn)重啟/藍(lán)屏現(xiàn)象，應(yīng)急響應(yīng)人員初步判定為感染了勒索病毒。

應(yīng)急響應(yīng)人員對重啟/藍(lán)屏服務(wù)器分析后，判定均遭受“永恒之藍(lán)”勒索病毒，同時遭受感染的服務(wù)器中部分文件被加密。通過對服務(wù)器進(jìn)行漏洞檢查發(fā)現(xiàn)服務(wù)器存在MS17-010漏洞，同時發(fā)現(xiàn)服務(wù)器開放了445端口。

通過本次安全事件，醫(yī)院信息系統(tǒng)暴露了諸多安全隱患，包括未定期開展安全評估工作，導(dǎo)致內(nèi)部服務(wù)器存在嚴(yán)重高危漏洞；安全域劃分不明確，較為混亂；安全意識仍需加強(qiáng)等。

2.防護(hù)建議

• 周期性對全網(wǎng)進(jìn)行安全評估工作，及時發(fā)現(xiàn)網(wǎng)絡(luò)主機(jī)存在的安全缺陷，修復(fù)高風(fēng)險漏洞，避免類似事件發(fā)生；
• 系統(tǒng)、應(yīng)用相關(guān)的用戶杜絕使用弱口令；
• 有效加強(qiáng)訪問控制ACL策略，細(xì)化策略粒度，采用白名單機(jī)制只允許開放特定的業(yè)務(wù)必要端口，其他端口一律禁止訪問，僅管理員IP可對管理端口進(jìn)行訪問；
• 加強(qiáng)日常安全巡檢制度，定期對系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落實情況進(jìn)行檢查，常態(tài)化信息安全工作；
• 加強(qiáng)安全意識，提高對網(wǎng)絡(luò)安全的認(rèn)識，關(guān)注重要漏洞與網(wǎng)絡(luò)安全事件。

二、終端電腦遭遇釣魚郵件感染勒索病毒

1.事件概述

某日，到某電網(wǎng)公司的終端安全應(yīng)急響應(yīng)請求，有幾臺辦公終端出現(xiàn)部分Office文檔、圖片文檔、pdf文檔多了sage后綴，修改后變成亂碼。

應(yīng)急響應(yīng)人員接到請求后，通過對感染勒索病毒的機(jī)器樣機(jī)進(jìn)行分析得知，此次感染的勒索病毒的類型為sage2.2勒索病毒。對于感染過程，響應(yīng)人員分析該勒索病毒可能使用了包含欺騙性消息的惡意電子郵件，消息可以是各種類型，目的皆在使?jié)撛谑芎φ叽蜷_這些電子郵件的惡意.zip。

2.防護(hù)建議

• 對受感染的機(jī)器第一時間進(jìn)行物理隔離處理；
• 部署終端安全管控軟件，實時對終端進(jìn)行查殺和防護(hù)；
• 對個人PC中比較重要的穩(wěn)定資料進(jìn)行隨時備份，備份應(yīng)離線存儲；
• 繼續(xù)加強(qiáng)網(wǎng)絡(luò)與信息安全意識培訓(xùn)教育。意外收到的或來自未知發(fā)件人的電子郵件，不要按照文字中的說明進(jìn)行操作，不要打開任何附件，也不要點擊任何鏈接；
• 操作系統(tǒng)以及安裝在計算機(jī)上的所有應(yīng)用程序（例如Adobe Reader，Adobe Flash，Sun Java等）必須始終如一地更新。

三、工業(yè)生產(chǎn)網(wǎng)與辦公網(wǎng)邊界模糊，感染勒索病毒

1.事件概述

某日，某大型制造企業(yè)的臥式爐、厚度檢測儀、四探針測試儀、銅區(qū)等多個車間的機(jī)臺主機(jī)以及MES（制造執(zhí)行系統(tǒng)）客戶端都不同程度地遭受蠕蟲病毒攻擊，出現(xiàn)藍(lán)屏、重啟現(xiàn)象。該企業(yè)內(nèi)部通過處理（機(jī)臺設(shè)備離線、部分MES服務(wù)器/客戶端更新病毒庫，更新主機(jī)系統(tǒng)補(bǔ)丁）暫時抑制了病毒的蔓延，但沒有徹底解決安全問題，因此緊急向工業(yè)安全應(yīng)急響應(yīng)中心求救。

工業(yè)安全應(yīng)急響應(yīng)中心人員到達(dá)現(xiàn)場后，經(jīng)對各生產(chǎn)線的實地查看和網(wǎng)絡(luò)分析可知，當(dāng)前網(wǎng)絡(luò)中存在的主要問題是工業(yè)生產(chǎn)網(wǎng)和辦公網(wǎng)網(wǎng)絡(luò)邊界模糊不清，MES與工控系統(tǒng)無明顯邊界，各生產(chǎn)線未進(jìn)行安全區(qū)域劃分，在工業(yè)生產(chǎn)網(wǎng)中引入了WannaMine3.0、“永恒之藍(lán)”勒索蠕蟲變種，感染了大量主機(jī)，且勒索蠕蟲變種在當(dāng)前網(wǎng)絡(luò)中未處于活躍狀態(tài)（大部分機(jī)臺設(shè)備已離線）。

2.防護(hù)建議

• 制定MES（制造執(zhí)行系統(tǒng)）與工控系統(tǒng)的安全區(qū)域，規(guī)劃制定安全區(qū)域劃分；
• 隔離感染主機(jī)：已中毒計算機(jī)關(guān)閉所有網(wǎng)絡(luò)連接，禁用網(wǎng)卡，未進(jìn)行查殺的且已關(guān)機(jī)的受害主機(jī)，需斷網(wǎng)開機(jī)；
• 切斷傳播途徑：關(guān)閉潛在終端的網(wǎng)絡(luò)共享端口，關(guān)閉異常的外聯(lián)訪問；
• 查殺病毒：使用最新病毒庫的終端殺毒軟件，進(jìn)行全盤查殺；
• 修補(bǔ)漏洞：打上“永恒之藍(lán)”漏洞補(bǔ)丁并安裝工業(yè)主機(jī)安全防護(hù)系統(tǒng)。

四、服務(wù)器配置不當(dāng)感染勒索病毒

1.事件概述

某日，接到某交通運輸行業(yè)的應(yīng)急響應(yīng)請求，某重要服務(wù)器感染勒索病毒，導(dǎo)致業(yè)務(wù)系統(tǒng)無法正常運行。

應(yīng)急響應(yīng)人員抵達(dá)現(xiàn)場后，通過對受感染服務(wù)器進(jìn)行分析，發(fā)現(xiàn)服務(wù)器感染Crysis勒索病毒變種，操作系統(tǒng)桌面及啟動項目錄中發(fā)現(xiàn)病毒樣本payload1.exe，系統(tǒng)大部分文件被加密。同時2個境外IP在勒索時間節(jié)點利用administrator賬號遠(yuǎn)程桌面登錄到了目標(biāo)主機(jī)，人工投毒并進(jìn)行橫向擴(kuò)散。

通過對現(xiàn)場情況進(jìn)行分析和對事件進(jìn)行推斷，本次事件主要是由于服務(wù)器配置不當(dāng)，直接對外映射了遠(yuǎn)程桌面端口，進(jìn)而攻擊者有針對性地對rdp遠(yuǎn)程登錄暴破、人工投毒執(zhí)行的勒索攻擊。

2. 防護(hù)建議

• 系統(tǒng)、應(yīng)用相關(guān)用戶杜絕使用弱口令，應(yīng)使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼，加強(qiáng)管理員安全意識，禁止密碼重用的情況出現(xiàn)；
• 禁止服務(wù)器主動發(fā)起外部連接請求，對于需要向外部服務(wù)器推送共享數(shù)據(jù)的，應(yīng)使用白名單的方式，在出口防火墻加入相關(guān)策略，對主動連接IP范圍進(jìn)行限制；
• 部署高級威脅監(jiān)測設(shè)備，及時發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量，同時可進(jìn)一步加強(qiáng)追蹤溯源能力，對安全事件發(fā)生時可提供可靠的追溯依據(jù)；
• 建議在服務(wù)器或虛擬化環(huán)境上部署虛擬化安全管理系統(tǒng)，提升防惡意軟件、防暴力破解等安全防護(hù)能力；
• 定期開展對系統(tǒng)、應(yīng)用以及網(wǎng)絡(luò)層面的安全評估、滲透測試以及代碼審計工作，主動發(fā)現(xiàn)目前系統(tǒng)、應(yīng)用存在的安全隱患；
• 加強(qiáng)日常安全巡檢制度，定期對系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落實情況進(jìn)行檢查，常態(tài)化信息安全工作；
• 加強(qiáng)人員安全意識培養(yǎng)，不要點擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件。對來源不明的文件包括郵件附件、上傳文件等要先殺毒處理。

五、專網(wǎng)被攻擊，58家醫(yī)院連鎖感染勒索病毒

1.事件概述

某日，某地骨科醫(yī)院爆發(fā)勒索病毒，不到一天，全省另外57家醫(yī)院相繼爆發(fā)勒索病毒，每家醫(yī)院受感染服務(wù)器數(shù)量為3-8臺不等，受災(zāi)醫(yī)院網(wǎng)絡(luò)業(yè)務(wù)癱瘓，無法正常開展診療服務(wù)。

現(xiàn)場排查顯示，此次事件可認(rèn)定為人工投毒，感染的病毒為Globelmposte家族勒索病毒，受感染醫(yī)院專網(wǎng)前置機(jī)因使用弱口令而被暴破，在成功感染第一家醫(yī)院后，攻擊者利用衛(wèi)生專網(wǎng)暴破3389登錄到各醫(yī)院專網(wǎng)前置機(jī)，再以前置機(jī)為跳板向醫(yī)院內(nèi)網(wǎng)其他服務(wù)器暴破投毒，感染專網(wǎng)未徹底隔離的其他57家醫(yī)院。

通過本次安全事件，醫(yī)院信息系統(tǒng)暴露了諸多安全隱患，包括未定期開展安全評估工作，導(dǎo)致內(nèi)部服務(wù)器存在嚴(yán)重高危漏洞；安全域劃分不明確，較為混亂；安全意識仍需加強(qiáng)等。

2.防護(hù)建議

• 系統(tǒng)、應(yīng)用相關(guān)用戶杜絕使用弱口令，應(yīng)使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼，加強(qiáng)管理員安全意識，禁止密碼重用的情況出現(xiàn)；
• 禁止服務(wù)器主動發(fā)起外部連接請求，對于需要向外部服務(wù)器推送共享數(shù)據(jù)的，應(yīng)使用白名單的方式，在出口防火墻加入相關(guān)策略，對主動連接IP范圍進(jìn)行限制；
• 有效加強(qiáng)訪問控制ACL策略，細(xì)化策略粒度，按區(qū)域按業(yè)務(wù)嚴(yán)格限制各個網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪問，采用白名單機(jī)制只允許開放特定的業(yè)務(wù)必要端口，其他端口一律禁止訪問，僅管理員IP可對管理端口進(jìn)行訪問，如FTP、數(shù)據(jù)庫服務(wù)、遠(yuǎn)程桌面等管理端口；
• 部署高級威脅監(jiān)測設(shè)備，及時發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量，同時可進(jìn)一步加強(qiáng)追蹤溯源能力，對安全事件發(fā)生時可提供可靠的追溯依據(jù)；
• 后續(xù)完善強(qiáng)化安全域劃分與隔離策略；修改弱密碼；關(guān)閉防火墻一切不必要的訪問端口；配置完善全流量采集分析能力；
• 構(gòu)建安全行業(yè)生態(tài)合作，有效利用威脅情報和應(yīng)急服務(wù)，提升安全防護(hù)和處置水平。

六、OA服務(wù)器遠(yuǎn)程桌面映射公網(wǎng)，感染勒索病毒

1. 事件概述

某日，接到某地?zé)犭娖髽I(yè)應(yīng)急響應(yīng)請求，該企業(yè)現(xiàn)場包括收費系統(tǒng)、化檢站遠(yuǎn)程監(jiān)測系統(tǒng)、用戶室溫檢測系統(tǒng)、郵件系統(tǒng)等23個系統(tǒng)被加密。該企業(yè)屬于大型政企機(jī)構(gòu)，停產(chǎn)后果難以估量，因此發(fā)出應(yīng)急響應(yīng)請求。

應(yīng)急人員抵達(dá)現(xiàn)場后，對受害主機(jī)初步分析，確定病毒為Sodinokibi勒索病毒，且主機(jī)日志大多被清除。

通過對多臺主機(jī)殘留日志關(guān)聯(lián)分析，配合上網(wǎng)行為系統(tǒng)訪問日志分析，確認(rèn)感染源頭為部署在虛擬化區(qū)域的OA服務(wù)器。黑客入侵后取得了管理員權(quán)限，又以此為跳板攻擊其他主機(jī)。經(jīng)現(xiàn)場調(diào)研發(fā)現(xiàn)，除管理疏忽存在漏洞外，該企業(yè)為了方便運維將OA服務(wù)器遠(yuǎn)程桌面映射到了互聯(lián)網(wǎng)上，并且有弱口令甚至是空口令的情況，導(dǎo)致遭受此次攻擊。

2.防護(hù)建議

• 定期進(jìn)行內(nèi)部人員安全意識培養(yǎng)，禁止將敏感信息、內(nèi)網(wǎng)端口私自暴露至公網(wǎng)，所有賬號系統(tǒng)必須設(shè)置口令且禁止使用弱口令；
• 加強(qiáng)日常安全巡檢制度，定期對系統(tǒng)配置、系統(tǒng)漏洞、安全日志以及安全策略落實情況進(jìn)行檢查。

七、內(nèi)網(wǎng)主機(jī)使用弱口令致感染勒索病毒

1.事件概述

某日，接到某國有企業(yè)應(yīng)急響應(yīng)請求，該企業(yè)感染勒索病毒、多個主機(jī)文件被加密，要求協(xié)助對攻擊路徑進(jìn)行溯源。

應(yīng)急人員通過對主機(jī)/服務(wù)器的進(jìn)程、文件、日志等排查分析，發(fā)現(xiàn)主機(jī)審核策略配置存在缺陷，部分審計未開啟，系統(tǒng)被植入惡意程序等現(xiàn)象，確認(rèn)多臺機(jī)器感染Hermes837勒索病毒，被病毒加密后的文件后綴為“Hermes837”。

攻擊者利用IPC暴力破解，成功登錄內(nèi)網(wǎng)主機(jī)和辦公主機(jī)，在辦公主機(jī)進(jìn)行安裝TeamViewer，創(chuàng)建ProcessHacker服務(wù)，修改密碼等一系列操作，以內(nèi)網(wǎng)主機(jī)為跳板，在SMB服務(wù)器安裝惡意程序KProcessHacker 。最終導(dǎo)致多臺機(jī)器感染Hermes837勒索病毒，文件被加密。

2.防護(hù)建議

• 系統(tǒng)、應(yīng)用相關(guān)用戶杜絕使用弱口令，應(yīng)使用高復(fù)雜強(qiáng)度的密碼，加強(qiáng)內(nèi)部人員安全意識，禁止密碼重用的情況出現(xiàn)；
• 加強(qiáng)日常安全巡檢制度，定期對系統(tǒng)配置、系統(tǒng)漏洞、安全日志以及安全策略落實情況進(jìn)行檢查，及時修復(fù)漏洞、安裝補(bǔ)丁，將信息安全工作常態(tài)化；
• 建議在服務(wù)器上部署安全加固軟件，通過限制異常登錄行為、開啟防暴破功能、禁用或限用危險端口（如3389、445、139、135等）、防范漏洞利用等方式，提高系統(tǒng)安全基線，防范黑客入侵；
• 配置并開啟相關(guān)關(guān)鍵系統(tǒng)、應(yīng)用日志，對系統(tǒng)日志進(jìn)行定期異地歸檔、備份，避免在攻擊行為發(fā)生時，導(dǎo)致無法對攻擊途徑、行為進(jìn)行溯源等，加強(qiáng)安全溯源能力；
• 建立安全災(zāi)備預(yù)案，一旦核心系統(tǒng)遭受攻擊，需要確保備份業(yè)務(wù)系統(tǒng)可以立即啟用；同時，需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作，避免主系統(tǒng)和備份系統(tǒng)同時被攻擊，影響業(yè)務(wù)連續(xù)性。

八、8003端口映射在公網(wǎng)感染勒索病毒

1.事件概述

某日，接到某醫(yī)療衛(wèi)生行業(yè)應(yīng)急響應(yīng)求助，現(xiàn)場發(fā)現(xiàn)一臺服務(wù)器被加密，希望對加密服務(wù)器進(jìn)行排查，并追溯攻擊來源。

應(yīng)急人員接到應(yīng)急請求抵達(dá)現(xiàn)場后排查發(fā)現(xiàn)，內(nèi)網(wǎng)2臺服務(wù)器和11臺終端感染Phobos家族最新變種勒索病毒。應(yīng)用服務(wù)器B的應(yīng)用系統(tǒng)8003端口映射在公網(wǎng)上，內(nèi)網(wǎng)多臺設(shè)備均未安裝任何補(bǔ)丁，且開放445、3389等常被攻擊者利用的端口。

經(jīng)過一系列排查分析，最終確認(rèn)攻擊者利用應(yīng)用服務(wù)器B存在的已知漏洞，上傳webshell后門獲得服務(wù)器B的應(yīng)用權(quán)限，進(jìn)行提權(quán)后，關(guān)閉終端安全軟件，上傳惡意程序mssecsvr.exe。并以應(yīng)用服務(wù)器B作為跳板機(jī)，對內(nèi)網(wǎng)發(fā)起掃描，通過暴力破解獲取服務(wù)器A的3389端口的賬號、密碼，遠(yuǎn)程登錄服務(wù)器A，上傳勒索病毒程序mssecsvr.exe，利用內(nèi)網(wǎng)開放的445端口將病毒進(jìn)行橫向擴(kuò)散，最終導(dǎo)致內(nèi)網(wǎng)多臺設(shè)備感染勒索病毒被加密。

2.防護(hù)建議

• 服務(wù)器、操作系統(tǒng)啟用密碼策略，杜絕使用弱口令，應(yīng)使用高復(fù)雜強(qiáng)度的密碼，如包含大小寫字母、數(shù)字、特殊符號等的混合密碼，加強(qiáng)管理員安全意識，禁止密碼重用的情況出現(xiàn)；
• 禁止服務(wù)器主動發(fā)起外部連接請求，對于需要向外部服務(wù)器推送共享數(shù)據(jù)的，應(yīng)使用白名單的方式，在出口防火墻加入相關(guān)策略，對主動連接IP范圍進(jìn)行限制；
• 關(guān)閉服務(wù)器3389、445、139、135等不必要的高危端口，建議內(nèi)網(wǎng)部署如堡壘機(jī)等類似的設(shè)備，并只允許堡壘機(jī)IP訪問服務(wù)器的遠(yuǎn)程管理端口（如445、3389、22等）；
• 對內(nèi)網(wǎng)開展安全大檢查，檢查的范圍包括但不限于惡意進(jìn)程、惡意服務(wù)、異常賬號以及后門清理、系統(tǒng)及網(wǎng)站漏洞檢測等；
• 加強(qiáng)日常安全巡檢制度，定期對系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備配合、安全日志以及安全策略落實情況進(jìn)行檢查，常態(tài)化信息安全工作。

九、私自下載破解軟件致服務(wù)器感染勒索病毒

1.事件概述

某日，某公司十余臺服務(wù)器感染勒索病毒，文件遭勒索加密，因此發(fā)起應(yīng)急響應(yīng)請求，查詢中毒原因。

應(yīng)急人員抵達(dá)現(xiàn)場后，查看加密文件后綴及勒索病毒界面，判斷該病毒是Phobos家族勒索病毒。通過現(xiàn)場對多臺受害服務(wù)器進(jìn)行日志分析，并與相關(guān)工作人員溝通，發(fā)現(xiàn)公司內(nèi)部員工曾使用個人電腦通過非官方渠道下載各類破解版軟件，導(dǎo)致個人電腦感染勒索病毒。同時內(nèi)網(wǎng)多臺服務(wù)器均開放3389遠(yuǎn)程桌面服務(wù)端口，勒索病毒進(jìn)入內(nèi)網(wǎng)后對內(nèi)網(wǎng)服務(wù)器進(jìn)行RDP暴破，暴破成功后釋放勒索病毒，加密文件。

2.防護(hù)建議

• 加強(qiáng)內(nèi)部訪問策略，禁止或限制個人電腦進(jìn)入內(nèi)網(wǎng)，如業(yè)務(wù)需要，增加訪問控制策略；
• 建議在服務(wù)器上部署安全加固軟件，通過限制異常登錄行為、開啟防暴破功能、禁用或限用危險端口（如3389、445、139、135等）、防范漏洞利用等方式，提高系統(tǒng)安全基線，防范黑客入侵；
• 加強(qiáng)日常安全巡檢制度，定期對系統(tǒng)配置、系統(tǒng)漏洞、安全日志以及安全策略落實情況進(jìn)行檢查，禁止通過非官方渠道下載應(yīng)用軟件，及時修復(fù)漏洞、安裝補(bǔ)丁，將信息安全工作常態(tài)化。

十、服務(wù)器補(bǔ)丁安裝不及時感染勒索病毒

1.事件概述

某日，某藥業(yè)公司一臺服務(wù)器遭受勒索病毒攻擊，緊急向應(yīng)急響應(yīng)中心求助，希望盡快排查并溯源。

安全應(yīng)急響應(yīng)中心專家通過對受感染服務(wù)器進(jìn)行日志分析，排查確認(rèn)感染fair勒索病毒。分析中發(fā)現(xiàn)文件最早加密時間為2022-02-20 14:40 左右，排查此時間段前登錄記錄，發(fā)現(xiàn)存在大量國外IP登錄的記錄。對登錄IP進(jìn)行威脅情報排查，發(fā)現(xiàn)大多IP都為惡意IP，其中有惡意IP通過windows登錄類型10：遠(yuǎn)程交互（遠(yuǎn)程桌面或遠(yuǎn)程協(xié)助訪問計算機(jī)）的方式登錄過受害服務(wù)器。

通過對現(xiàn)場情況進(jìn)行分析發(fā)現(xiàn)，該藥業(yè)公司服務(wù)器存在補(bǔ)丁安裝不及時、多張網(wǎng)卡情況、根據(jù)以上排查信息、也不排除攻擊者掃描到相關(guān)漏洞進(jìn)行攻擊的可能性。

2.防護(hù)建議

• 對已被感染勒索病毒的服務(wù)器進(jìn)行斷網(wǎng)處理，并進(jìn)行隔離，以免進(jìn)一步感染其他主機(jī)。對于未中招服務(wù)器，盡量關(guān)閉不常用的高危端口；
• 有效加強(qiáng)訪問控制策略，按區(qū)域按業(yè)務(wù)嚴(yán)格限制各個網(wǎng)絡(luò)區(qū)域以及服務(wù)器之間的訪問，在服務(wù)器部署工業(yè)主機(jī)安全防護(hù)系統(tǒng)，使用白名單的機(jī)制只允許業(yè)務(wù)必要端口開放；
• 部署工業(yè)安全監(jiān)測系統(tǒng)，進(jìn)行鏡像流量分析和威脅檢測，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的安全風(fēng)險，同時加強(qiáng)追蹤溯源能力，提供可靠的追溯依據(jù)。

十一、擅自修改網(wǎng)絡(luò)配置致服務(wù)器感染勒索病毒

1.事件概述

某日，接到醫(yī)療行業(yè)某機(jī)構(gòu)應(yīng)急響應(yīng)求助，現(xiàn)場一臺剛上線服務(wù)器感染勒索病毒，所有文件被加密。

應(yīng)急人員通過對加密文件進(jìn)行查看，確認(rèn)受害服務(wù)器感染的是Phobos勒索病毒，文件加密時間為事發(fā)當(dāng)日凌晨4點。應(yīng)急人員對受害服務(wù)器日志進(jìn)行分析發(fā)現(xiàn)，從事發(fā)前一周開始，公網(wǎng)IP（x.x.x.75）持續(xù)對受害服務(wù)器RDP服務(wù)進(jìn)行賬號密碼暴力破解，并于事發(fā)前一晚20點第一次登錄成功。事發(fā)當(dāng)日凌晨1點，公網(wǎng)IP（x.x.x.75）再次登錄RDP服務(wù)賬號，使用黑客工具強(qiáng)制關(guān)閉服務(wù)器中安裝的殺毒軟件，向內(nèi)網(wǎng)進(jìn)行了橫向滲透、端口掃描及RDP暴破等行為，但均利用失敗，并于事發(fā)當(dāng)天凌晨3點向受害服務(wù)器釋放勒索病毒。

最終發(fā)現(xiàn)，正常運維人員訪問RDP服務(wù)需要通過堡壘機(jī)訪問，運維人員為了方便管理，將RDP服務(wù)8735端口的網(wǎng)絡(luò)流量通過netsh端口轉(zhuǎn)發(fā)到服務(wù)器3389端口到公網(wǎng)，導(dǎo)致RDP服務(wù)開放至公網(wǎng)被攻擊者利用。

2.防護(hù)建議

• 定期進(jìn)行內(nèi)部人員安全意識培訓(xùn)，禁止擅自修改服務(wù)器配置，禁止使用弱密碼等；
• 服務(wù)器、操作系統(tǒng)啟用密碼策略，杜絕使用弱口令，應(yīng)使用高復(fù)雜強(qiáng)度的密碼，如包含大小寫字母、數(shù)字、特殊符號等的混合密碼，加強(qiáng)管理員安全意識，禁止密碼重用的情況出現(xiàn)；
• 建議在服務(wù)器上部署安全加固軟件，通過限制異常登錄行為、開啟防暴破功能、禁用或限用危險端口（如3389、445、139、135等）、防范漏洞利用等方式，提高系統(tǒng)安全基線，防范黑客入侵；
• 部署高級威脅監(jiān)測設(shè)備，及時發(fā)現(xiàn)惡意網(wǎng)絡(luò)流量，同時可進(jìn)一步加強(qiáng)追蹤溯源能力，對安全事件發(fā)生時可提供可靠的追溯依據(jù)；
• 加強(qiáng)日常安全巡檢制度，定期對系統(tǒng)配置、系統(tǒng)漏洞、安全日志以及安全策略落實情況進(jìn)行檢查，及時修復(fù)漏洞、安裝補(bǔ)丁，將信息安全工作常態(tài)化。

十二、用戶名口令被暴力破解感染勒索病毒

1.事件概述

某日，接到某政府部門的應(yīng)急響應(yīng)求助，要求對被勒索服務(wù)器進(jìn)行排查分析并溯源。

應(yīng)急人員通過查看加密文件，確認(rèn)感染VoidCrypt勒索病毒。對多臺被感染服務(wù)器進(jìn)行日志分析，發(fā)現(xiàn)存在大量用戶名口令暴破并暴破成功的記錄。查看服務(wù)器C主機(jī)進(jìn)程發(fā)現(xiàn)存在FRP代理程序，與運維管理員溝通了解到，運維管理員為了方便管理將服務(wù)器C的3389遠(yuǎn)程桌面端口映射到了公網(wǎng)。

經(jīng)排查研判后最終確定，攻擊者利用服務(wù)器C對外開放的3389端口對用戶名和密碼進(jìn)行暴力破解，并成功獲取服務(wù)器C的控制權(quán)，進(jìn)而以服務(wù)器C作為跳板，對內(nèi)網(wǎng)進(jìn)行小規(guī)模掃描暴破獲取服務(wù)器B的權(quán)限，再進(jìn)一步以服務(wù)器B作為跳板，繼續(xù)對內(nèi)網(wǎng)進(jìn)行掃描暴破獲取服務(wù)器A的權(quán)限，利用服務(wù)器A為跳板機(jī)進(jìn)行內(nèi)網(wǎng)暴破攻擊，在獲得其他主機(jī)用戶名口令后，通過遠(yuǎn)程登錄執(zhí)行勒索程序。

2.防護(hù)建議

• 系統(tǒng)、應(yīng)用相關(guān)用戶杜絕使用弱口令，應(yīng)使用高復(fù)雜強(qiáng)度的密碼，盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼，加強(qiáng)管理員安全意識，禁止密碼重用的情況出現(xiàn)；
• 建議安裝相應(yīng)的防病毒軟件，及時對病毒庫進(jìn)行更新，并且定期進(jìn)行全面掃描，加強(qiáng)服務(wù)器上的病毒清除能力；
• 加強(qiáng)日常安全巡檢制度，定期對系統(tǒng)配置、系統(tǒng)漏洞、安全日志以及安全策略落實情況進(jìn)行檢查，及時修復(fù)漏洞、安裝補(bǔ)丁，將信息安全工作常態(tài)化；
• 建議在服務(wù)器上部署安全加固軟件，通過限制異常登錄行為、開啟防暴破功能、禁用或限用危險端口（如3389、445、139、135等）、防范漏洞利用等方式，提高系統(tǒng)安全基線，防范黑客入侵；
• 對內(nèi)網(wǎng)的安全域進(jìn)行合理劃分，各個安全域之間限制嚴(yán)格的ACL，限制橫向移動的范圍；
• 建立安全災(zāi)備預(yù)案，一旦核心系統(tǒng)遭受攻擊，需要確保備份業(yè)務(wù)系統(tǒng)可以立即啟用；同時，需要做好備份系統(tǒng)與主系統(tǒng)的安全隔離工作，避免主系統(tǒng)和備份系統(tǒng)同時被攻擊，影響業(yè)務(wù)連續(xù)性。