10. 服务器补丁安装不及时感染勒索病毒
事件概述
某日,某药业公司一台服务器遭受勒索病毒攻击,紧急向应急响应中心求助,希望尽快排查并溯源。
安全应急响应中心专家通过对受感染服务器进行日志分析,排查确认感染fair勒索病毒。分析中发现文件最早加密时间为2022-02-20 14:40 左右,排查此时间段前登录记录,发现存在大量国外IP登录的记录。对登录IP进行威胁情报排查,发现大多IP都为恶意IP,其中有恶意IP通过windows登录类型10:远程交互(远程桌面或远程协助访问计算机)的方式登录过受害服务器。
通过对现场情况进行分析发现,该药业公司服务器存在补丁安装不及时、多张网卡情况、根据以上排查信息、也不排除攻击者扫描到相关漏洞进行攻击的可能性。
防护建议
- 对已被感染勒索病毒的服务器进行断网处理,并进行隔离,以免进一步感染其他主机。对于未中招服务器,尽量关闭不常用的高危端口
- 有效加强访问控制策略,按区域按业务严格限制各个网络区域以及服务器之间的访问,在服务器部署工业主机安全防护系统,使用白名单的机制只允许业务必要端口开放
- 部署工业安全监测系统,进行镜像流量分析和威胁检测,及时发现网络中的安全风险,同时加强追踪溯源能力,提供可靠的追溯依据