11. 擅自修改网络配置致服务器感染勒索病毒

事件概述

某日,接到医疗行业某机构应急响应求助,现场一台刚上线服务器感染勒索病毒,所有文件被加密。

应急人员通过对加密文件进行查看,确认受害服务器感染的是Phobos勒索病毒,文件加密时间为事发当日凌晨4点。应急人员对受害服务器日志进行分析发现,从事发前一周开始,公网IP(x.x.x.75)持续对受害服务器RDP服务进行账号密码暴力破解,并于事发前一晚20点第一次登录成功。事发当日凌晨1点,公网IP(x.x.x.75)再次登录RDP服务账号,使用黑客工具强制关闭服务器中安装的杀毒软件,向内网进行了横向渗透、端口扫描及RDP暴破等行为,但均利用失败,并于事发当天凌晨3点向受害服务器释放勒索病毒。

最终发现,正常运维人员访问RDP服务需要通过堡垒机访问,运维人员为了方便管理,将RDP服务8735端口的网络流量通过netsh端口转发到服务器3389端口到公网,导致RDP服务开放至公网被攻击者利用。

防护建议

  • 定期进行内部人员安全意识培训,禁止擅自修改服务器配置,禁止使用弱密码等
  • 服务器、操作系统启用密码策略,杜绝使用弱口令,应使用高复杂强度的密码,如包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现
  • 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵
  • 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据
  • 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化