5月4日,勒索病毒GlobeImposter家族的变种在国内传播,此病毒主要以国内公共机构服务器为主要攻击对象,目前已有医疗机构因该病毒出现系统瘫痪,对业务连续性造成严重影响。本次攻击与普通勒索事件的首要区别在于攻击者在突破企业防护边界后利用恶意代码自身的横向移动功能(比如对MS17-010漏洞的利用)进行内网渗透,绕过安全防护,并释放勒索恶意代码,具有极强的破坏性及针对性。
影响范围:
本次攻击者主要的突破边界手段可能为Windows远程桌面服务密码暴力破解,在进入内网后会进行多种方法获取登陆凭据并在内网横向传播。综上,符合以下特征的机构将更容易遭到攻击者的侵害:
1、存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构;
2、内网Windows终端、服务器使用相同或者少数几组口令;
3、Windows服务器、终端未部署或未及时更新杀毒软件。
处置建议:
(一)及时加强终端、服务器防护
1、所有服务器、终端应强行实施复杂密码策略,杜绝弱口令;
2、安装杀毒软件、终端安全管理软件并及时更新病毒库;
3、及时安装漏洞补丁;
4、服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础。
(二)严格控制端口管理
1、尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445、135、139、3389;
2、建议关闭远程桌面协议。
(三)对重要的数据文件定期进行非本地备份
