4. 账号信息上传公网,致内网20多台机器受感染
事件概述
某日,安服团队接到某运输公司应急请求,该公司通过天眼发现存在服务器失陷的危急告警。
应急人员通过分析天眼发现,该公司内部环境中20余台服务器出现失陷告警,其中两台重要服务器上发现被植入后门,服务器已沦陷,同时多台服务器上均发现Frp代理、CobaltStrike上线脚本与漏洞利用工具使用痕迹,攻击者正在通过Frp代理对内网服务器进行SQL注入漏洞攻击。
通过人工排查,发现该公司内部某员工上传敏感信息到GitHub中,导致敏感数据泄露,攻击者利用该员工账号登录VPN对该公司某重要服务器发起攻击,并利用Redis未授权访问漏洞获得权限,上传Frp代理工具、MS17-010等漏洞利用工具,进行内网横向渗透,成功攻下内网服务器、主机20余台,并利用已攻陷机器在内网中进行横向攻击。
防护建议
- 定期进行内部人员安全意识培养,禁止将敏感信息私自暴露至公网,禁止点击来源不明的邮件附件等
- 为Redis服务添加密码验证,为Redis服务创建单独的user和home目录,并且配置禁止登录,低权限运行Redis服务
- 加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞(如MS17-010漏洞等)、安装补丁,将信息安全工作常态化
- 建议配置VPN登录的双因素认证,如增加手机短信验证码认证等,严格控制用户登录,防止账号信息被盗用