6. OA服务器远程桌面映射公网,感染勒索病毒
事件概述
某日,接到某地热电企业应急响应请求,该企业现场包括收费系统、化检站远程监测系统、用户室温检测系统、邮件系统等23个系统被加密。该企业属于大型政企机构,停产后果难以估量,因此发出应急响应请求。
应急人员抵达现场后,对受害主机初步分析,确定病毒为Sodinokibi勒索病毒,且主机日志大多被清除。
通过对多台主机残留日志关联分析,配合上网行为系统访问日志分析,确认感染源头为部署在虚拟化区域的OA服务器。黑客入侵后取得了管理员权限,又以此为跳板攻击其他主机。经现场调研发现,除管理疏忽存在漏洞外,该企业为了方便运维将OA服务器远程桌面映射到了互联网上,并且有弱口令甚至是空口令的情况,导致遭受此次攻击。
防护建议
- 定期进行内部人员安全意识培养,禁止将敏感信息、内网端口私自暴露至公网,所有账号系统必须设置口令且禁止使用弱口令
- 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查