7. 内网主机使用弱口令致感染勒索病毒

事件概述

某日，接到某国有企业应急响应请求，该企业感染勒索病毒、多个主机文件被加密，要求协助对攻击路径进行溯源。

应急人员通过对主机/服务器的进程、文件、日志等排查分析，发现主机审核策略配置存在缺陷，部分审计未开启，系统被植入恶意程序等现象，确认多台机器感染Hermes837勒索病毒，被病毒加密后的文件后缀为"Hermes837"。

攻击者利用IPC暴力破解，成功登录内网主机和办公主机，在办公主机进行安装TeamViewer，创建ProcessHacker服务，修改密码等一系列操作，以内网主机为跳板，在SMB服务器安装恶意程序KProcessHacker。最终导致多台机器感染Hermes837勒索病毒，文件被加密。

系统、应用相关用户杜绝使用弱口令，应使用高复杂强度的密码，加强内部人员安全意识，禁止密码重用的情况出现
加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查，及时修复漏洞、安装补丁，将信息安全工作常态化
建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口（如3389、445、139、135等）、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵
配置并开启相关关键系统、应用日志，对系统日志进行定期异地归档、备份，避免在攻击行为发生时，导致无法对攻击途径、行为进行溯源等，加强安全溯源能力
建立安全灾备预案，一旦核心系统遭受攻击，需要确保备份业务系统可以立即启用；同时，需要做好备份系统与主系统的安全隔离工作，避免主系统和备份系统同时被攻击，影响业务连续性