3. 安全设备弱口令致内网被僵尸网络控制
事件概述
某日,安服应急响应团队接到某大学僵尸网络事件的应急请求,现场多台终端发现疑似黑客活动迹象,重要网站系统遭到黑客攻击,无法正常运行。
应急响应人员通过对重要网站系统进行排查分析,发现该业务系统存在大量IPC暴破登录行为,内网多台主机被多次登录成功,且存在数个僵尸网络远控IP登录行为,其中,某一控制端存在大量国外IP连接行为。同时,应急人员发现其网站运维管理审计系统暴露于公网,并存在弱口令现象,攻击者通过该系统可取得大量服务器的控制权限,且很多敏感安全设备均暴露在公网上,包括WEB应用防火墙、日志中心、漏洞扫描系统、超级终端等。攻击者通过暴露于公网的审计系统弱口令暴破登录进入内网,并以此为跳板,对内网多台服务器、主机进行暴破、投毒并进行横向扩散,组成僵尸网络。
防护建议
- 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现
- 重要业务系统及核心数据库应设置独立的安全区域,做好区域边界的安全防御工作,严格限制重要区域的访问权限并关闭不必要、不安全的服务
- 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据
- 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵
- 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患
- 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作