产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
黑产竞争激烈:一台服务器遭遇两拨黑客进攻
2018-04-26 03:36:04
0×1 概述
腾讯御见威胁情报中心日前接到某公司反馈,公司一台Windows服务器中招勒索病毒,数据被加密,攻击者留言勒索0.3比特币。
腾讯安全专家现场查看该公司被加密破坏的服务器,发现数据已被GlobeImposter勒索病毒家族加密,事件起因疑似由于该公司防火墙配置存在风险,导致服务器端口暴露,被黑客扫描攻击。腾讯安全专家检查被加密服务器系统的登录日志,还意外发现,这台服务器在同时间段内曾被两拨入侵者尝试远程爆破攻击。
两个攻击团伙同时对这台服务器进行爆破攻击
0×2 事件分析
观察被攻击服务器系统日志,发现攻击团伙A在2018-4-13开始使用RDP爆破的方式对服务器进行间断性的爆破尝试。然而自始至终并没有爆破成功。通过系统日志可知A团伙爆破使用了以下账户名:
user2
praxis
admin3
rendszergazda
sicfe
Kawase
......
而攻击团伙B在2018-4-14开始SMB爆破,并且在2018-4-15 15:01:33爆破成功,而后在2018-04-17 22:18:35成功登录服务器,扫描使用的ip为:185.156.177.18、94.229.68.134,地址分别来自英国和俄罗斯。团伙B爆破使用以下账户名:
admin
user
usuario
administrador
guest
administrateur
Administrator
......
团伙B爆破登录成功
爆破登录服务器成功后的团伙B向服务器植入了GlobeImposter家族勒索病毒,该勒索病毒家族使用了RSA+AES加密方式,加密过程中涉及两对RSA密钥(分别为黑客公私钥和用户公私钥)和一对AES密钥。
黑客RSA密钥用于加密用户RSA密钥,用户RSA密钥用于加密AES密钥,AES密钥用于加密文件内容。所以,如果数据被该勒索病毒加密,在攻击者没有公布手中私钥的前提下,以目前技术手段暂无法暴力破解解密文件。
GlobeImposter加密主要流程
加密服务器成功后的团伙B通过留言,要求受害者联系邮箱aoki@airmail.cc进行文件解密,并声称不会保留文件解密密钥在服务器上太长时间,进而恐吓催促受害者尽快与其联系,缴纳文件解密赎金。该团伙要求受害者支付0.3比特币的赎金。
被加密服务器留言
幸运的是,由于某些原因,本次事件受害企业服务器核心数据未被加密。企业虚惊一场,该公司运维人员已通过重装系统,恢复核心数据的方式恢复正常业务。两团伙费尽心思,最终也是竹篮打水一场空。
对比以往类似事件来看,本次勒索金额并不是太多,这也可能是该团伙考虑到核心数据并未加密后开出的一个价码。虽然如此,企业依然要提高安全意识,做好安全防护和业务备份,避免给黑客入侵以可乘之机。
0×3 未来趋势
通过腾讯电脑管家蜜罐监控大数据分析可以看出,近期使用RDP,SMB爆破方式实施的勒索病毒攻击上升迅速。腾讯御见威胁情报中心的统计显示,4月份针对企业服务器的勒索病毒事件增长了34%。参考《以Windows服务器为攻击目标 或成勒索病毒新趋势》https://s.tencent.com/research/report/466.html
黑客为了获取高数额的不义之财,通常会花费大量时间成本针对政企机构实施耗时长久的攻击。如果该类机构缺乏安全意识,则很容易被黑客成功偷袭。
3389攻击连接趋势
445攻击连接趋势
安全建议
针对此类威胁,腾讯御见威胁情报中心给出以下安全建议。
1、尽量关闭不必要的端口,如:445、135,139等;
2、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理;
3、将内外网隔离,对外服务器尽量与内网隔离,防止对外服务器被入侵后,黑客能进一步渗透内网;
4、建立白名单,重要数据、系统、机器只允许授权ip访问;
5、及时打补丁,修复系统或第三方软件中存在的安全漏洞。
6、使用腾讯御界高级威胁检测系统(下载地址:https://s.tencent.com/product/gjwxjc/index.html)检测该轮攻击的连接行为。
御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。凭借基于行为的防护和智能模型两大核心能力,御界高级威胁检测系统可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。通过部署御界高级威胁检测系统,及时感知恶意流量,检测钓鱼网址和远控服务器地址在企业网络中的访问情况,保护企业网络安全。
IOCs
勒索邮箱
aoki@airmail.cc
扫描IP
185.156.177.18
94.229.68.134
在线咨询
方案定制