1、第四章 蠕虫类事件典型案例蠕虫病毒也是一种常见的计算机病毒,具有较强独立性,可以不依赖宿主程序独立运行,具有传播更快更广以及更好的伪装和隐藏的特点,通常利用恶意链接、电子邮件附件、U 盘携带以及弱密码暴破的方式发起攻击,受害者一旦点击包含有被蠕虫感染的链接和邮件附件,蠕虫病毒会立刻被����激活,并迅速感染其他主机,窃取重要信息,严重时会导致网络系统瘫痪,服务器系统资源遭到破坏。一、服务器弱口令导致感染蠕虫病毒(一)事件概述2016年,奇安信集团安服团队接到某银行应急响应请求,其发现内网有服务器出现工作异常,并发现网络中存在扫描行为,应急响应专家1小时内到达现场。应急响应专家通过现场进行检测分析,发现
2、大量来自A省分行的服务器可疑远程桌面暴破行为,进一步远程检测发现 A 省分行服务器上均存在恶意进程,正在批量扫描暴破内网 3389端口,其中B省某重要业务系统已被�����暴破成功,并对全国至少19家分行进行扫描。通过对样本进行分析,确认该银行内网中感染了Morto家族系的蠕虫的最新进化版本,主要实现远控目的。对A省被攻陷终端的日志分析,攻击者早在2015年就已进入到A省分行内部网络区域,对整个银行内部网络的暴破攻击长达1年以上。1) 所有服务器、终端应强行实施复杂密码策略,杜绝弱口令;2) 对服务器进行������安全加固,关闭远程桌面功能、定期更换密码、禁止使用最高权限用户运行程序、使用HTTPS加密协议等;3
3、) 建立安全灾备预案,一旦核心系统遭受攻击,需要确保备份业务系统可以立即启用;4) 对服务器定期维护,内容包括但不限于:查看服务器操作系统是否存在可疑进程、计划任务中是否存在可疑项等;5) 在服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;6) 安装杀毒软件、终端安全管理软件并及时更新病毒库。二、浏览恶意链接感染蠕虫病毒(一)事件概述2018年11 月,奇安信集团安服团队接到某部委蠕虫病毒事件应急响应请求,其发现内����网多台终端外连恶意域名并下载恶意软件。应急人员到达现场后,对内网服务器文件、服务器账号、网络连
4、接、日志等多方面进行分析,发现内网主机用户浏览带有恶意链接的Web页面,并于内嵌链接中触发对该异常域名的访问,导致服务器被感染飞客蠕虫病毒,并外连下载恶意软件。该病毒会对随机生成的IP地址发起攻击,攻击成功后会下载一个木马病毒,通过修改注册表键值来使某免费安全工具功能失效。病毒会修改hosts文件,使用户无法正常访问安全厂商网站�����及服务器。1) 配置并开启操作系统、关键应用等自动更新功能,对最新系统、应用安全补丁进行订阅、更新。避免攻击者通过相关系统、应用安全漏洞对系统实施攻击,或在获取系统访问权限后,对������系统用户权限进行提升;2) 限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访
5、问控制 ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP 可对管理端口进行访问,如 FTP、数据库服务、远程桌面等管理端口,限制公网主机对139、445端口等访问;3) 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;4) 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;5) 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行���检查
6、,常态化信息安全工作;6) 服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;7) 加强人员安全意识培养,不要点击来源不明的邮件附件,不从不明网站下载软件。对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。工业安全应急响应中心人员到达现场后,经对现�������场情况的了解及设备的检测,发现当前设备、系统、网络中存在的主要问题是由于U盘的不合理使用使得TDM系统中感染了“Conficker” 蠕虫、矢网仪感染了“FakeFolder”蠕虫病毒。病毒可通过移动介质、网络大范围传播,由此形成恶性循环;同时,病毒感染后可进行各种恶意操作,如安装后门、窃取敏感数据、篡改数据等,数据可通过被感染的移动介质和主机传播外泄,由此造成敏感数据丢失、测试数据不准确,最终导致产品出现功能、性能问题的可能性;缺乏对U盘使用的基本管理制度,亦无技术管控措施;安全意识有待提高,安全制度建立有待完善。
sgpjbg002
工作日 8:30 - 17:30
报告分类
