关键词:勒索病毒,网络安全应急响应,网络安全应急处置,安全防护
摘要:2023年8月,御盾安全团队接到某半导体公司的应急响应需求,客户重要服务器感染勒索病毒,所有业务处于中断状态,我们立即启动紧急响应计划,迅速派出安全工程师到达现场并采取行动,有效阻止了病毒扩散并加固了安全防护。
一、事件概述
2023年8月,御盾安全团队接到某半导体公司的应急响应需求,近20台重要服务器感染勒索病毒,导致业务系统无法正常运行,所有业务处于中断状态。我们立即启动紧急响应计划,与客户协调后,迅速派出安全工程师到达现场并采取行动。
应急人员抵达现场后,首先进行了深入的安全排查,分析受影响的系统、文件和日志,以确定病毒传播途径和影响程度。发现服务器感染Mallox勒索病毒,操作系统C:/User/Public目录中发现病毒样本a.exe,系统大部分文件被加密,且系统日志被清除。经过排查发现,凌晨3点左右目标主机有被暴力破解的情况,同时,有恶意用户使用Administrator账户利用远程桌面登录到了目标主机,人工投毒并进行横向扩散。
为了遏制病毒的传播,我们隔离了受影响的系统,防止病毒进一步蔓延。在隔离期间,我们与客户合作,恢复备份数据,并确保系统重新上线前进行全面测试。我们与安全社区合作,寻找已知的解密工具,以恢复被勒索的数据。同时,我们使用了杀毒软件和安全工具来清除病毒并确保系统安全。在确认系统干净并恢复正常运行后,我们与客户一起制定恢复业务的计划,涉及重新配置系统、加强安全措施和培训员工。
通过对现场情况进行分析和对事件进行推断,本次事件主要是由于客户服务器存在弱密码,且安全设备缺失导致,进而攻击者有针对性的对RDP远程登录爆破、人工投毒执行勒索攻击。
事后,我们详细记录了整个事件处置过程,包括发现、响应、恢复和后续措施,帮助客户了解事件的全貌,还可用于后续审查和改进安全策略。为了防止类似事件再次发生,我们与客户建立了持续的监控机制,实施实时威胁监测、漏洞管理和安全培训,确保客户网络始终保持在高度安全状态。
二、防护建议
1、系统、应用相关用户勿使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;
2、定期梳理对外开放的端口,禁用服务器除了业务以外的高危端口,如TCP的135、137、139、445等;
3、建议部署安全监测产品,对内容攻击流量进行监测,及时发现恶意流量,并采取应急处置措施;
4、建议部署日志审计系统,对重要网络设备、安全设备和服务器的日志进行统一存储和分析,便于安全事件的预警、分析和溯源;
5、定期开展对系统、应用以及网络层面的安全评估、漏洞扫描、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患,及时更新系统、应用安全补丁;
6、加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。
近年来,全国应急响应服务需求呈逐步上升趋势,自2017年“永恒之蓝”勒索病毒爆发以来,针对政府、医疗、能源电力、高科技企业、工业制造、教育、金融等行业的攻击层出不穷,我国网络安全态势严峻。网络安全应急响应通过在遇到突发安全事件后采取专业的安全措施和行动,对已经发生的安全事件进行监控、分析、协调、处理、保护资产等安全属性的工作,能够及时保障企业用户的网络安全,减少安全事件所带来的经济损失以及恶劣的社会负面影响。政府机构、企业等应打破传统安全防护观念,多角度看待安全问题,实现安全能力与安全意识的全面提升。
作为专业的信息安全服务提供商,我们长期为客户提供安全评估、安全运维等一系列的安全保障服务。共筑网络安全防护网,御盾一直在您身边!