多地發生針對高價值伺服器的GlobeImposter勒索病毒攻擊事件

360企業安全監測到，自2018年8月21日起，多地發生GlobeImposter勒索病毒事件，經過定性分析，攻擊者在突破邊界防禦後利用駭客工具進行內網滲透並選擇高價值目標伺服器人工投放勒索病毒，360安全監測與響應中心對該事件的風險評級為

高危

。

此攻擊團伙主要攻擊開啟遠端桌面服務的伺服器，利用密碼抓取工具獲取管理員密碼後對內網伺服器發起掃描並人工投放勒索病毒，導致檔案被加密。病毒感染後的主要特徵包括windows 伺服器檔案被加密、且加密檔案的檔名字尾為*。RESERVE。

360安全監測與響應中心、360威脅情報中心、360安服團隊、360天擎對此事件進行了緊密跟蹤與分析，認為本次事件不同於普通的勒索病毒事件。

據360企業安全專家介紹，勒索病毒之前的傳播手段主要以釣魚郵件、網頁掛馬、漏洞利用為主，例如Locky在高峰時期僅一家企業郵箱一天之內就遭受到上千萬封勒索釣魚郵件攻擊。然而，從2016年下半年開始，隨著Crysis/XTBL的出現，透過RDP弱口令暴力破解伺服器密碼人工投毒（常伴隨共享資料夾感染）逐漸成為主角。到了2018年，幾個影響力最大的勒索病毒幾乎全都採用這種方式進行傳播，這其中以GlobeImposter、Crysis為代表，感染使用者數量最多，破壞性最強。360安全監測與響應中心在2018年8月16日釋出的《GandCrab病毒勒索攻擊安全預警通告》中涉及到的GandCrab病毒也是採用RDP弱口令暴力破解伺服器密碼人工投毒的方式進行勒索。

根據本次事件特徵分析，除已受到攻擊的單位外，其他同類型單位也面臨風險，需積極應對。

攻擊工具及特徵

駭客突破邊界防禦後，會以工具輔助手工的方式，對內網其他機器進行滲透。透過對多個現場的調查，駭客所使用的工具包括但不限於：

1。 全功能遠控木馬

2。 自動化新增管理員的指令碼

3。 內網共享掃描工具

4。 Windows 密碼抓取工具

5。 網路嗅探、多協議暴破工具

6。 瀏覽器密碼檢視工具

攻擊者在開啟內網突破口後，會在內網對其他主機進行口令暴破。在內網橫向移動至一臺新的主機後，會嘗試進行包括但不限於以下操作：

1。 手動或用工具解除安裝主機上安裝的防護軟體

2。 下載或上傳駭客工具包

3。 手動啟用遠端控制以及勒索病毒

易受攻擊影響的機構

本次攻擊者主要的突破邊界手段可能為Windows遠端桌面服務密碼暴力破解，在進入內網後會進行多種方法獲取登陸憑據並在內網橫向傳播。

綜上，符合以下特徵的機構將更容易遭到攻擊者的侵害：

1。 存在弱口令且Windows遠端桌面服務（3389埠）暴露在網際網路上的機構。

2。 內網Windows終端、伺服器使用相同或者少數幾組口令。

3。 Windows伺服器、終端未部署或未及時更新安全加固和防毒軟體

處置建議

一、緊急處置方案

1。 對於已中招伺服器： 下線隔離。

2。 對於未中招伺服器：

1）在網路邊界防火牆上全域性關閉3389埠或3389埠只對特定IP開放。

2）開啟Windows防火牆，儘量關閉3389、445、139、135等不用的高危埠。

3）每臺伺服器設定唯一口令，且複雜度要求採用大小寫字母、數字、特殊符號混合的組合結構，口令位數足夠長（15位、兩種組合以上）。

二、後續跟進方案

對於已下線隔離中招伺服器，聯絡專業技術服務機構進行日誌及樣本分析。

伺服器、終端防護

1。 所有伺服器、終端應強行實施複雜密碼策略，杜絕弱口令

2。 杜絕使用通用密碼管理所有機器

3。 安裝防毒軟體、終端安全管理軟體並及時更新病毒庫

4。 及時安裝漏洞補丁

5。 伺服器開啟關鍵日誌收集功能，為安全事件的追蹤溯源提供基礎

網路防護與安全監測

1。 對內網安全域進行合理劃分。各個安全域之間限制嚴格的 ACL，限制橫向移動的範圍。

2。 重要業務系統及核心資料庫應當設定獨立的安全區域並做好區域邊界的安全防禦，嚴格限制重要區域的訪問許可權並關閉telnet、snmp等不必要、不安全的服務。

3。 在網路內架設 IDS/IPS 裝置，及時發現、阻斷內網的橫向移動行為。

4。 在網路內架設全流量記錄裝置，以及發現內網的橫向移動行為，併為追蹤溯源提供良好的基礎。

應用系統防護及資料備份

1。 應用系統層面，需要對應用系統進行安全滲透測試與加固，保障應用系統自身安全可控。

2。 對業務系統及資料進行及時備份，並驗證備份系統及備份資料的可用性。

3。 建立安全災備預案，一但核心系統遭受攻擊，需要確保備份業務系統可以立即啟用；同時，需要做好備份系統與主系統的安全隔離工作，闢免主系統和備份系統同時被攻擊，影響業務連續性。

六、結語

安全防護本身是一個動態的對抗過程，在以上安全加固措施的基礎上，日常工作中，還需要加強系統使用過程的管理與網路安全狀態的實時監測：

1。 電腦中不使用不明來歷的隨身碟、行動硬碟等儲存裝置；不接入公共網路，同時機構的內部網路中不執行不明來歷的裝置接入。

2。 要常態化的開展安全檢查和評估，及時發現安全薄弱環節，及時修補安全漏洞和安全管理機制上的不足，時刻保持系統的安全維持在一個相對較高的水平；（類似定期體檢）

3。 及時關注並跟進網路安全的技術進步，有條件的單位，可以採取新型的基於大資料的流量的監測裝置並配合專業的分析服務，以便做到蠕蟲病毒的第一時間發現、第一時間處置、第一時間溯源根除。