弱口令依然是导致网络安全事件的主要因素 | 应急响应8月简报

1、失陷区域

从政企机构8月网络安全事件失陷区域看，70.7%为业务专网、29.3%为办公终端。由于内部员工安全意识不足，常导致业务专网中存在大量安全漏洞，如危险端口暴露在公网中、未及时安装安全补丁等，可以被轻易利用，所以业务专网遭受的攻击和威胁也是最多，最严重的。

2、事件影响

从政企机构8月的统计来看，24.4%的安全事件导致了数据丢失、19.5%的安全事件导致了系统/网络不可用、9.8%的安全事件导致了数据篡改、7.3%的安全事件导致了生产效率低下、7.3%的安全事件导致了声誉影响、2.4%的安全事件导致了数据泄露。从攻击现象统计看，攻击者通过对政府机构、大中型企业重要服务器及数据库进行攻击，从而导致数据被破坏或丢失等后果，并且攻击者对系统的攻击具备破坏性、针对性，严重影响了系统和业务的正常运行。

3、攻击目的

对8月网络安全事件中攻击者的目的进行了分析。其中，31.7%的安全事件属于敲诈勒索事件、9.8%的安全事件属于黑产活动事件、7.3%的安全事件属于内部违规事件。由此可见，对于大部分攻击者而言，其进行攻击的主要原因是为获取暴利，实现自身最大利益。

4、木马类型

对8月政企机构遭受攻击的常见木马类型进行了统计，其中，挖矿木马占比为14.6%、一般木马占比为12.2%、Wannacry勒索软件占比为7.3%、GLobeImposter勒索软件占比为4.9%、网站木马占比为2.4%、APT专用木马占比为2.4%、其他勒索软件占比为24.4%。从以上数据可以看出，勒索病毒、挖矿木马仍为攻击者攻击政府机构、大中型企业的常见木马类型。

5、自身弱点

网络安全事件的发生，往往会暴露出相关政企机构内部存在的安全运营和管理问题。在8月所处置完成的41起网络安全事件中，弱口令问题最为显著。其中，36.6%的事件与弱口令有关、17.1%的事件与配置不当有关、12.2%的事件与永恒之蓝有关、4.9%的事件与服务器漏洞有关、4.9%的事件与设备漏洞有关、2.4%的事件与Weblogic反序列化有关、2.4%的事件与JAVA反序列化有关、2.4%的事件与任意文件下载有关。（其中，单起网络安全事件中，存在多个弱点的情况）

案例1

2020年8月4日晚21点，安服应急响应团队接到某政府部门应急请求，客户安全设备发现服务器反弹shell告警，需要进行排查溯源。

安服应急人员通过天眼告警与系统日志分析对客户受害资产梳理发现，客户公网应用平台http://115.xx.xx.1/xx/采用Apche Shiro框架存在Shiro反序列化漏洞，内网做负载均衡的两台服务器被上传有webshell记录、frp内网穿透代理工具，公网出口地址与外网攻击者vps进行连接通信。

经最终分析研判确定，攻击者首先通过收集网上Shiro框架默认密钥多次对应用平台http://115.xx.xx.1/xx接口利用Shiro RememberMe反序列化漏洞进行攻击，攻击成功后执行whoami、ifconfig等系统命令，然后利用远程命令执行使两台内网服务器从公网vps1下载webshell,访问webshell发现未解析随后删除webshell，进而下载frp内网穿透代理客户端并运行，最终将shell反弹至公网vps2服务器上面实现内网穿透并进行远程控制。

案例2

2020年8月6日，安服应急响应团队接到某运营商应急响应求助，客户安全设备监控到一台堡垒机前置机对内网其他服务器发起攻击行为，希望对其内网服务器进行排查。

应急响应人员抵达现场后，对相关服务器进行排查发现，客户堡垒机前置机（x.x.x.10）中存在恶意程序（mssecsvr.exe、mssecsvc.exe）及还未执行的勒索病毒程序，前置机开放3389端口以及139 、445等其他风险端口，且3389端口使用弱口令，端对端诊断系统（x.x.x.15）存在Weblogic反序列化漏洞（CVE-2019-2729）。使用个人PC连接客户某机顶盒产品自带WIFI网络，通过修改DHCP配置，将个人PC伪装成机顶盒身份，即可直接访问包含堡垒机前置机（x.x.x.10）在内的内网多台服务器。此外，多数内网服务器均开放了3389端口以及139、445等其他多个风险端口。

应急人员成功溯源攻击途径，攻击者利用客户机顶盒产品配置不当问题，将个人PC伪装成机顶盒身份，直接访问到了包含堡垒机前置机（x.x.x.10）在内的内网多台服务器，利用堡垒机前置机（x.x.x.10）3389端口的弱口令取得了前置机权限，上传恶意程序以及勒索病毒程序，并进行横向传播，同时攻击者利用Weblogic反序列化漏洞（CVE-2019-2729）对端到端诊断系统（x.x.x.15）实施了ifconfig、whoami、netstat –ano等敏感命令执行以及漏洞探测行为，最终导致内网至少3台服务器及主机失陷。

案例3

2020年8月18号，安服应急响应团队接到某医疗卫生行业应急响应求助，客户现场发现一台服务器被加密，希望对加密服务器进行排查，并追溯攻击来源。

应急人员接到应急请求抵达现场后排查发现，内网2台服务器和11台终端感染Phobos家族最新变种勒索病毒。客户应用服务器B的应用系统8003端口映射在公网上，内网多台设备均未安装任何补丁，且开放445、3389等常被攻击者利用的端口。

经过一系列排查分析，最终确认攻击者利用应用服务器B存在的已知漏洞，上传webshell后门获得服务器B的应用权限，进行提权后，关闭终端安全软件，上传恶意程序mssecsvr.exe。并以应用服务器B作为跳板机，对内网发起扫描，通过暴力破解获取服务器A的3389端口的账号、密码，远程登陆服务器A，上传勒索病毒程序mssecsvr.exe，并利用内网开放的445端口将病毒进行横向扩散，最终导致内网多台设备感染勒索病毒被加密。

应急响应服务致力于成为“网络安全120”。2016年以来，奇安信已具备了丰富的应急响应实践经验，应急响应业务覆盖了全国31个省份，处置政企机构网络安全应急事件超过两千起，累计投入工时25000多个小时，为全国超千家政企机构解决网络安全问题，获得了用户的高度认可和一致好评。

奇安信7*24小时应急响应热线：4009-727-120