转发:关于黑客对核心服务器实施网络勒索情况的预警通报
时间:2018-06-23
网络与信息安全情况通报
第68期
北京网络与信息安全信息通报中心
2018年6月20日
关于黑客对核心服务器实施网络勒索情况的预警通报
据国内网络安全厂商360公司监测发现,2018年3月以来境内发生了数十起黑客组织攻击单位核心服务器并实施网络勒索的安全事件,此类事件数量呈现上升趋势。针对此情况,为避免我市重要信息系统遭受此类攻击,进一步提升网络安全防护能力,我中心对此类勒索攻击事件进行了深入分析,并提出了对策建议。现将情况通报如下:
一、2018年以来网络勒索攻击分析
1、被攻击对象类型。据360公司监测,黑客通常会对承载核心业务系统服务器开展网络攻击,系统一旦被黑客控制,文件将被恶意加密,造成业务瘫痪,向黑客缴纳赎金后,才能解密文件。据统计,2018年3月至5月,党政机关、企事业单位医疗、教育等行业成为网络勒索攻击的主要对象,其中以党政机关和企事业单位最为突出。
2.被攻击操作系统类型。据360公司监测,遭受网络勒索攻击的服务器中, Windows server2008与 Windows server2008 R2尤为突出。
3.黑客攻击方式。据360公司监测,系统弱口令、共享文件下载、系统安全漏洞是黑客网络勒索攻击通常使用的方式。一是利用弱口令实施攻击。用户服务器账户使用简单口令,轻易被黑客破译,最终导致服务器感染勒索程序。二是利用共享文件下载方式攻击。单位局域网内任意一台终端或服务器被黑客攻击,并将含有勒索程序的文件进行共享,其他用户下载共享文件后,也一并被感染。三是利用系统安全漏洞实施入侵攻击。用户系统本身存在安全漏洞,未及时升级补丁,导致安全漏洞长期存在,黑客利用系统漏洞入侵服务器,并获取服务器权限,最终导致服务器感染勒索程序。
二、网络安全工作建议
1.立即开展网络安全自查。一是服务器层面。避免弱口令, 使用强口令,避免多系统使用同一口令;及时安装漏洞补丁关闭 Windows共享服务、远程桌面控制等不必要的服务;安装防病毒、终端安全管理软件,并及时更新将病毒库。二是网络环境层面。做好安全区域隔离工作,尤其针对重要业务系统及核心数据库,应该设置独立的安全区域;做好区域边界的安全防御,严格限制重要区域的访问权限并关闭 telnet、snmp、445、8088等不必要、不安全的服务和端口。三是应用系统层面。做好应用系统安全渗透测试与加固工作,保障应用系统自身安全可控,对业务系统及数据进行备份,并验证备份系统及备份数据的可用性。
2对已感染用户采取应急措施。对于已被勒索病毒感染的用户,要避免勒索病毒在内网中进一步传播,一是隔离被感染区域与其他安全域的连接;二是对被感染服务器区域的服务器进行漏洞排查;三是增强业务系统主机的账号密码强度,防止密码爆破;四是服务器数据进行横向移植,重新搭建全新平合。
3.突出情况立即上报。请各单位接通报后立即开展工作如发生突发网络安全事件第一时间向我中心上报。
下一步,为提高我市网络与信息系统安全防范能力,我中心将持续组织技术支持单位加强我市重要信息系统的监测力度,研究技术解决方案。同时,进一步做好应急处置和技术救援协调工作。
(联系人:宋扬,联系电话:53121239)