8. 8003端口映射在公网感染勒索病毒

事件概述

某日，接到某医疗卫生行业应急响应求助，现场发现一台服务器被加密，希望对加密服务器进行排查，并追溯攻击来源。

应急人员接到应急请求抵达现场后排查发现，内网2台服务器和11台终端感染Phobos家族最新变种勒索病毒。应用服务器B的应用系统8003端口映射在公网上，内网多台设备均未安装任何补丁，且开放445、3389等常被攻击者利用的端口。

经过一系列排查分析，最终确认攻击者利用应用服务器B存在的已知漏洞，上传webshell后门获得服务器B的应用权限，进行提权后，关闭终端安全软件，上传恶意程序mssecsvr.exe。并以应用服务器B作为跳板机，对内网发起扫描，通过暴力破解获取服务器A的3389端口的账号、密码，远程登录服务器A，上传勒索病毒程序mssecsvr.exe，利用内网开放的445端口将病毒进行横向扩散，最终导致内网多台设备感染勒索病毒被加密。

防护建议

• 服务器、操作系统启用密码策略，杜绝使用弱口令，应使用高复杂强度的密码，如包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现
• 禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用白名单的方式，在出口防火墙加入相关策略，对主动连接IP范围进行限制
• 关闭服务器3389、445、139、135等不必要的高危端口，建议内网部署如堡垒机等类似的设备，并只允许堡垒机IP访问服务器的远程管理端口（如445、3389、22等）
• 对内网开展安全大检查，检查的范围包括但不限于恶意进程、恶意服务、异常账号以及后门清理、系统及网站漏洞检测等
• 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作