2018年8月21日起，多地發(fā)生 GlobeImposter 勒索病毒事件，攻擊者在突破機構(gòu)和企業(yè)的邊界防御后，利用黑客工具進行內(nèi)網(wǎng)滲透并選擇高價值目標(biāo)服務(wù)器人工投放勒索病毒。

根據(jù)監(jiān)測情況，該攻擊團伙主要攻擊開啟遠程桌面服務(wù)的服務(wù)器，利用密碼抓取工具獲取管理員密碼后對內(nèi)網(wǎng)服務(wù)器發(fā)起掃描并人工投放勒索病毒，導(dǎo)致文件被加密。

勒索病毒之前的傳播手段主要以釣魚郵件、網(wǎng)頁掛馬、漏洞利用為主，例如 Locky 在高峰時期僅一家企業(yè)郵箱一天之內(nèi)就遭受到上千萬封勒索釣魚郵件攻擊。

然而，從2016年下半年開始通過RDP弱口令暴力破解服務(wù)器密碼人工投毒（常伴隨共享文件夾感染）逐漸成為主角。

2018年開始，GlobeImposter、Crysis等幾個感染用戶數(shù)量多，破壞性強的勒索病毒幾乎全都采用這種方式進行傳播，包括8月16日發(fā)現(xiàn)的 GandCrab 病毒也是采用RDP弱口令暴力破解服務(wù)器密碼人工投毒的方式進行勒索。

目前，國內(nèi)已經(jīng)有多家重要機構(gòu)受到了攻擊影響，根據(jù)本次事件特征分析，其它同類型單位也面臨風(fēng)險，需要積極應(yīng)對。

本次攻擊者主要的突破邊界手段可能為Windows遠程桌面服務(wù)密碼暴力破解，在進入內(nèi)網(wǎng)后會進行多種方法獲取登陸憑據(jù)并在內(nèi)網(wǎng)橫向傳播。

更容易遭到攻擊者侵害的機構(gòu)：

1.?存在弱口令且Windows遠程桌面服務(wù)(3389端口)暴露在互聯(lián)網(wǎng)上的機構(gòu)。

2.?內(nèi)網(wǎng)Windows終端、服務(wù)器使用相同或者少數(shù)幾組口令。

3.?Windows服務(wù)器、終端未部署或未及時更新安全加固和殺毒軟件。

cc

收藏 海報分享