12. 用户名口令被暴力破解感染勒索病毒

事件概述

某日，接到某政府部门的应急响应求助，要求对被勒索服务器进行排查分析并溯源。

应急人员通过查看加密文件，确认感染VoidCrypt勒索病毒。对多台被感染服务器进行日志分析，发现存在大量用户名口令暴破并暴破成功的记录。查看服务器C主机进程发现存在FRP代理程序，与运维管理员沟通了解到，运维管理员为了方便管理将服务器C的3389远程桌面端口映射到了公网。

经排查研判后最终确定，攻击者利用服务器C对外开放的3389端口对用户名和密码进行暴力破解，并成功获取服务器C的控制权，进而以服务器C作为跳板，对内网进行小规模扫描暴破获取服务器B的权限，再进一步以服务器B作为跳板，继续对内网进行扫描暴破获取服务器A的权限。

防护建议

• 禁止将内网服务器端口私自映射到公网，运维管理应通过堡垒机进行
• 定期进行内部人员安全意识培训，禁止擅自修改服务器配置
• 服务器、操作系统启用密码策略，杜绝使用弱口令
• 加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查
• 配置并开启相关关键系统、应用日志，对系统日志进行定期异地归档、备份，加强安全溯源能力