08.29 緊急預警！多地發生針對高價值服務器的GlobeImposter勒索病毒攻擊事件

技術支撐單位安全監測到，自2018年8月21日起，多地發生GlobeImposter勒索病毒事件，經過定性分析，攻擊者在突破邊界防禦後利用黑客工具進行內網滲透並選擇高價值目標服務器人工投放勒索病毒，技術支撐單位對該事件的風險評級為高危。

此攻擊團伙主要攻擊開啟遠程桌面服務的服務器，利用密碼抓取工具獲取管理員密碼後對內網服務器發起掃描並人工投放勒索病毒，導致文件被加密。病毒感染後的主要特徵包括windows 服務器文件被加密、且加密文件的文件名後綴為*.RESERVE。

技術支撐單位對此事件進行了緊密跟蹤與分析，認為本次事件不同於普通的勒索病毒事件。

據技術支撐單位專家介紹，勒索病毒之前的傳播手段主要以釣魚郵件、網頁掛馬、漏洞利用為主，例如Locky在高峰時期僅一家企業郵箱一天之內就遭受到上千萬封勒索釣魚郵件攻擊。然而，從2016年下半年開始，隨著Crysis/XTBL的出現，通過RDP弱口令暴力破解服務器密碼人工投毒（常伴隨共享文件夾感染）逐漸成為主角。到了2018年，幾個影響力最大的勒索病毒幾乎全都採用這種方式進行傳播，這其中以GlobeImposter、Crysis為代表，感染用戶數量最多，破壞性最強。技術支撐單位在2018年8月16日發佈的《GandCrab病毒勒索攻擊安全預警通告》中涉及到的GandCrab病毒也是採用RDP弱口令暴力破解服務器密碼人工投毒的方式進行勒索。

根據本次事件特徵分析，除已受到攻擊的單位外，其他同類型單位也面臨風險，需積極應對。

攻擊工具及特徵

黑客突破邊界防禦後，會以工具輔助手工的方式，對內網其他機器進行滲透。通過對多個現場的調查，黑客所使用的工具包括但不限於：

1. 全功能遠控木馬

2. 自動化添加管理員的腳本

3. 內網共享掃描工具

4. Windows 密碼抓取工具

5. 網絡嗅探、多協議暴破工具

6. 瀏覽器密碼查看工具

攻擊者在打開內網突破口後，會在內網對其他主機進行口令暴破。在內網橫向移動至一臺新的主機後，會嘗試進行包括但不限於以下操作：

1. 手動或用工具卸載主機上安裝的防護軟件

2. 下載或上傳黑客工具包

3. 手動啟用遠程控制以及勒索病毒

易受攻擊影響的機構

本次攻擊者主要的突破邊界手段可能為Windows遠程桌面服務密碼暴力破解，在進入內網後會進行多種方法獲取登陸憑據並在內網橫向傳播。

綜上，符合以下特徵的機構將更容易遭到攻擊者的侵害：

1. 存在弱口令且Windows遠程桌面服務(3389端口)暴露在互聯網上的機構。

2. 內網Windows終端、服務器使用相同或者少數幾組口令。

3. Windows服務器、終端未部署或未及時更新安全加固和殺毒軟件

處置建議

一、緊急處置方案

1. 對於已中招服務器: 下線隔離。

2. 對於未中招服務器:

1）在網絡邊界防火牆上全局關閉3389端口或3389端口只對特定IP開放。

2）開啟Windows防火牆，儘量關閉3389、445、139、135等不用的高危端口。

3）每臺服務器設置唯一口令，且複雜度要求採用大小寫字母、數字、特殊符號混合的組合結構，口令位數足夠長（15位、兩種組合以上）。

二、後續跟進方案

對於已下線隔離中招服務器，聯繫專業技術服務機構進行日誌及樣本分析。

服務器、終端防護

1. 所有服務器、終端應強行實施複雜密碼策略，杜絕弱口令

2. 杜絕使用通用密碼管理所有機器

3. 安裝殺毒軟件、終端安全管理軟件並及時更新病毒庫

4. 及時安裝漏洞補丁

5. 服務器開啟關鍵日誌收集功能，為安全事件的追蹤溯源提供基礎

網絡防護與安全監測

1. 對內網安全域進行合理劃分。各個安全域之間限制嚴格的 ACL，限制橫向移動的範圍。

2. 重要業務系統及核心數據庫應當設置獨立的安全區域並做好區域邊界的安全防禦，嚴格限制重要區域的訪問權限並關閉telnet、snmp等不必要、不安全的服務。

3. 在網絡內架設 IDS/IPS 設備，及時發現、阻斷內網的橫向移動行為。

4. 在網絡內架設全流量記錄設備，以及發現內網的橫向移動行為，併為追蹤溯源提供良好的基礎。

應用系統防護及數據備份

1. 應用系統層面，需要對應用系統進行安全滲透測試與加固，保障應用系統自身安全可控。

2. 對業務系統及數據進行及時備份，並驗證備份系統及備份數據的可用性。

3. 建立安全災備預案，一但核心系統遭受攻擊，需要確保備份業務系統可以立即啟用；同時，需要做好備份系統與主系統的安全隔離工作，闢免主系統和備份系統同時被攻擊，影響業務連續性。

六、結語

安全防護本身是一個動態的對抗過程，在以上安全加固措施的基礎上，日常工作中，還需要加強系統使用過程的管理與網絡安全狀態的實時監測：

1. 電腦中不使用不明來歷的U盤、移動硬盤等存儲設備；不接入公共網絡，同時機構的內部網絡中不運行不明來歷的設備接入。
2. 要常態化的開展安全檢查和評估，及時發現安全薄弱環節，及時修補安全漏洞和安全管理機制上的不足，時刻保持系統的安全維持在一個相對較高的水平；（類似定期體檢）
3. 及時關注並跟進網絡安全的技術進步，有條件的單位，可以採取新型的基於大數據的流量的監測設備並配合專業的分析服務，以便做到蠕蟲病毒的第一時間發現、第一時間處置、第一時間溯源根除。