本帖最后由 adds 于 2024-8-20 09:44 编辑
一、问题描述 1.1 客户接市级安全平台通报: 监测发现市XX所属政务外网地址(*.*.*.5)对外发起扫描探测,存在安全隐患。建议对相关设备或系统进行隐患排查,避免攻击者利用失陷设备或系统做进一步攻击,详情请见验证情况。
二、处理过程 2.1 梳理现场环境 主机:*.*.*.5 操作系统:Windows Server 2008 R2 Etnerprise 行为表现:有对外发起扫描行为 2.2 系统监听端口 服务器有开启RDP、SMB等协议的高危服务端口。 2.3 系统安全日志排查 排查服务器有暴力破解日志: 再继续排查暴破成功日志: 2.4 查看用户 发现用户有在6月4日3时36分被修改过密码。依据时间判断是刚暴破成功后进行的操作,正常的用户不会凌晨登录系统去改密码。且后续登录时间也是凌晨,即前期先打点后续再接入。 2.5 杀毒 共查杀出4种病毒,其中syste64.exe是挖矿病毒;host.exe中电脑木马病毒,这是一个Downloader,能下载并运行黑客事先指定的文件;mz64.exe是一款黑客工具;masscan.exe是无状态端口扫描器。 扫开文件所在位置,可以看到大量的黑客工具,包含一个几十兆的“Downloads.rar”文件夹,查看该文件夹生成时间,发现为6月4日4时38分,与被RDP暴破成功后时间吻合。
三、根因 经过分析确定,客户服务器有开启RDP服务,且没有修改默认的3389端口,导致服务器遭受RDP攻击,并暴破成功取得服务器权限。之后机器被植入多种病毒,其中masscan.exe是一款端口扫描器工具,被上级通报的扫描行为即该款软件的攻击行为。
四、解决方案 4.1 对该主机进行全盘查杀,删除病毒文件; 4.2 对局域网内其他可能感染病毒的主机进行全盘查杀; 4.3 关闭非必要的高危的端口和服务;关闭网络共享服务或对共享文件做权限访问限制; 4.4 推进部署EDR,及时阻断病毒落地传播; 4.5 强密码认证。可以关闭RDP服务的关闭,不能关闭的开启强密码认证或限制源IP; 4.6 部署边界防火墙和区域防火墙,配置安全策略,防止暴破攻击或漏洞利用攻击;
五、建议与总结 5.1 建议 1)建议部署SIP感知,并加强网络监控; 2)对第一时间不能及时发现告警并处置、难以管理弱口令以及和最新漏洞情报的获取等情况,可采用安全运营服务MSS,通过“人机共智”的方式整合技术、专家和流程 ,帮助用户快速扩展安全能力,实现7*24H持续监测。 5.2 总结 2024年7月4日上午接客户通知到现场进行安全事件排查,客户的一台“应用管理平台”服务器遭受了网络攻击,并对外发起了扫描探测。服务器第一次被恶意登录的时间为6月4日凌晨3点左右,第二次被登录时间为7月2日凌晨4点左右,在接到上级单位通报后,客户采取了服务器断网操作,将所有业务系统的网络断开,并在当天进行了消杀操作。 经排查发现服务器被远程暴力破解,上传了多种病毒和黑客工具,包括挖矿、木马、扫描器等软件。攻击方式为rdp爆破。 经过手工排查,找到病毒样本文件并删除,结合日志记录,溯源到攻击者IP及主要攻击手段为RDP暴破。 | 
发表于 2024-8-31 07:58
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术专家4级 
