一站式信息安全服务专家
提供安全架构、被动防御、积极防御、威胁情报分析等完整安全服务商
紧急预警:多地发生针对高价值服务器的GlobeImposter勒索病毒攻击事件
来源: | 作者:xiaoyw | 发布时间: 692天前 | 1418 次浏览 | 分享到:

360企业安全监测到2018年8月21日起,多地发生GlobeImposter勒索病毒事件,攻击者在突破机构和企业的边界防御后,利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒,360安全监测与响应中心对该事件的风险评级为高危。

此攻击团伙主要攻击开启远程桌面服务的服务器,利用密码抓取工具获取管理员密码后对内网服务器发起扫描人工投放勒索病毒,导致文件被加密

据360企业安全专家介绍,勒索病毒之前的传播手段主要以钓鱼邮件、网页挂马、漏洞利用为主,例如Locky在高峰时期仅一家企业邮箱一天之内就遭受到上千万封勒索钓鱼邮件攻击。然而,从2016年下半年开始通过RDP弱口令暴力破解服务器密码人工投毒(常伴随共享文件夹感染)逐渐成为主角。2018年开始,GlobeImposter、Crysis等几个感染用户数量多,破坏性强的勒索病毒几乎全都采用这种方式进行传播,包括8月16日发现的GandCrab病毒也是采用RDP弱口令暴力破解服务器密码人工投毒的方式进行勒索。

该专家介绍,国内已经有多家重要机构受到了攻击影响,根据本次事件特征分析,其它同类型单位也面临风险,需要积极应对。

本次攻击者主要的突破边界手段可能为Windows远程桌面服务密码暴力破解,在进入内网后会进行多种方法获取登陆凭据并在内网横向传播。因此符合以下特征的机构将更容易遭到攻击者的侵害:

1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。

2. 内网Windows终端、服务器使用相同或者少数几组口令。

3. Windows服务器、终端未部署或未及时更新安全加固和杀毒软件。

针对该事件,360企业安全专家提供了以下处置建议。


一、紧急处置方案

1、对于已中招服务器

下线隔离。

2、对于未中招服务器

1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。

2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。

3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。

二、后续跟进方案

对于已下线隔离中招服务器,联系专业技术服务机构进行日志及样本分析。

服务器、终端防护