近日,美國(guó)知名GPS導(dǎo)航設(shè)備及運(yùn)動(dòng)穿戴設(shè)備制造商佳明(Garmin)的服務(wù)器遭到了黑客的攻擊���,導(dǎo)致國(guó)際服務(wù)器癱瘓���,除了中國(guó)區(qū)以外的全球用戶無(wú)法同步自己的運(yùn)動(dòng)數(shù)據(jù)���。俄羅斯黑客組織Evil Corp宣布對(duì)該事件負(fù)責(zé),這款名為WastedLocker的勒索軟件導(dǎo)致了這次全球性的服務(wù)器癱瘓���。
據(jù)稱���,Evil Corp要求佳明公司向其支付1000萬(wàn)美金的“贖金”,否則將刪除服務(wù)器上的所有數(shù)據(jù)���。佳明美國(guó)官方在社交媒體發(fā)表聲明稱美國(guó)服務(wù)器停機(jī)���,同時(shí)旗下App Garmin Connect也受到了影響。截止當(dāng)前���,佳明國(guó)際服務(wù)器依然沒(méi)有恢復(fù)正常���。
現(xiàn)如今���,網(wǎng)絡(luò)安全環(huán)境日趨復(fù)雜���,越來(lái)越多的企業(yè)遭受到來(lái)自不法分子的網(wǎng)絡(luò)攻擊行為���,這些行為不僅影響企業(yè)的正常運(yùn)轉(zhuǎn),更會(huì)導(dǎo)致重要數(shù)據(jù)的泄露和曝光���,給企業(yè)造成二次打擊���。這給廣大企事業(yè)單位都敲響了警鐘,也給眾網(wǎng)絡(luò)安全企業(yè)賦予了更重的任務(wù)與職責(zé)���,需要切實(shí)為企事業(yè)單位做好網(wǎng)絡(luò)安全防護(hù)監(jiān)控���。
某市公安局,在與聚銘網(wǎng)絡(luò)達(dá)成全面合作的情況下���,借助我司的網(wǎng)絡(luò)流量智能分析審計(jì)系統(tǒng)���,幫助其信息科部門發(fā)現(xiàn)了內(nèi)網(wǎng)許多的安全隱患與問(wèn)題,如黑域名���、黑IP和弱口令等等���,具體情況如下:
首先���,經(jīng)過(guò)系統(tǒng)的搜集分析,發(fā)現(xiàn)了某臺(tái)主機(jī)設(shè)備最近一直在瘋狂的外連域名:attendecr.com���。通過(guò)強(qiáng)大的雙品牌(聚銘&騰訊雙引擎)威脅情報(bào)庫(kù)進(jìn)行的溯源查詢���,斷定其外連域名是黑域名,標(biāo)簽是遠(yuǎn)控+NrsMiner挖礦僵尸網(wǎng)絡(luò)���。
隨后���,又通過(guò)多方驗(yàn)證,結(jié)果和我司的溯源查詢完全一致���。
域名attendecr.com指向的是個(gè)WannaMine家族的挖礦病毒���,是一個(gè)利用“永恒之藍(lán)”漏洞攻擊武器傳播的挖礦僵尸網(wǎng)絡(luò)。
該僵尸網(wǎng)絡(luò)通過(guò)占用僵尸機(jī)的CPU和GPU算力挖取門羅幣獲利���。感染用戶設(shè)備后���,它可以通過(guò)創(chuàng)建微型Web服務(wù)端,供內(nèi)網(wǎng)其它無(wú)法上網(wǎng)的主機(jī)下載更新���,然后將用于挖礦的文件下發(fā)到每臺(tái)僵尸機(jī)中���,并利用漏洞攻擊武器感染局域網(wǎng)中的其他設(shè)備。
其危害有如下兩點(diǎn):
1.病毒感染設(shè)備后���,可以通過(guò)用戶設(shè)備進(jìn)行挖礦���,耗費(fèi)用戶設(shè)備中大量的CPU,影響用戶正常業(yè)務(wù)���,甚至造成用戶設(shè)備硬件損壞���;
2.病毒可以通過(guò)漏洞攻擊武器在內(nèi)網(wǎng)中傳播,導(dǎo)致局域網(wǎng)中的所有設(shè)備都有可能感染該病毒���;
在了解上述相關(guān)情況后���,經(jīng)過(guò)確認(rèn)后發(fā)現(xiàn)���,中了挖礦病毒的是分局警務(wù)保障室的一臺(tái)管理主機(jī)設(shè)備;信息部科長(zhǎng)立即命令其整改���,通過(guò)專業(yè)的查殺工具進(jìn)行查殺處理后���,這臺(tái)主機(jī)沒(méi)有再爆出此類型的安全問(wèn)題。
由于市公安局的辦公系統(tǒng)較多���,人員的賬戶分布也眾多���,關(guān)于辦公人員是否使用了弱口令的問(wèn)題,科長(zhǎng)也是非常的重視���。因?yàn)橹鞍l(fā)生了某位辦公人員在重要業(yè)務(wù)系統(tǒng)中使用了弱口令���,導(dǎo)致被不法分子進(jìn)行了口令的暴力破解的情況,且成功登錄了業(yè)務(wù)系統(tǒng)���,造成了不小的損失���。
而關(guān)于弱口令檢測(cè)這方面也是流量審計(jì)分析產(chǎn)品的一大特色���,短短的一周之內(nèi)���,聚銘網(wǎng)絡(luò)流量智能分析審計(jì)系統(tǒng)就為公安局發(fā)現(xiàn)了總共222臺(tái)主機(jī)上使用了弱口令���。針對(duì)弱口令問(wèn)題的具體情況也通過(guò)智能報(bào)表的形式上報(bào)給了信息部科長(zhǎng),科長(zhǎng)表示嚴(yán)格按照?qǐng)?bào)表進(jìn)行逐一處理���,真的是非常方便���,極大地解放了運(yùn)維人員無(wú)法定位弱口令問(wèn)題的困境。
通過(guò)本次內(nèi)網(wǎng)安全問(wèn)題分析���,我們發(fā)現(xiàn):純內(nèi)網(wǎng)環(huán)境并不是很安全���,也不一定很牢固;如弱口令這一塊很容易成為網(wǎng)絡(luò)攻擊的突破口���,這也是非常值得政務(wù)部門注意的一點(diǎn)���。
