4. 服务器配置不当感染勒索病毒
事件概述
某日,接到某交通运输行业的应急响应请求,某重要服务器感染勒索病毒,导致业务系统无法正常运行。
应急响应人员抵达现场后,通过对受感染服务器进行分析,发现服务器感染Crysis勒索病毒变种,操作系统桌面及启动项目录中发现病毒样本payload1.exe,系统大部分文件被加密。同时2个境外IP在勒索时间节点利用administrator账号远程桌面登录到了目标主机,人工投毒并进行横向扩散。
通过对现场情况进行分析和对事件进行推断,本次事件主要是由于服务器配置不当,直接对外映射了远程桌面端口,进而攻击者有针对性地对rdp远程登录暴破、人工投毒执行的勒索攻击。
防护建议
- 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现
- 禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制
- 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据
- 建议在服务器或虚拟化环境上部署虚拟化安全管理系统,提升防恶意软件、防暴力破解等安全防护能力
- 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患
- 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作
- 加强人员安全意识培养,不要点击来源不明的邮件附件,不从不明网站下载软件。对来源不明的文件包括邮件附件、上传文件等要先杀毒处理