安基网 欢乐生肖 资讯 安全报 查看内容

抽丝剥茧 重现境外黑客长期潜伏的蛛丝马迹

2019-12-27 09:06| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 某日,奇安信网络安全应急响应中心接到某行业用户的应急响应需求:有黑客组织在境外发布了该单位的重要敏感信息,已对该单位造成恶劣影响,用户仅能锁定可能泄露信息的系统,但无法确认入侵途径。用户需要对入侵途径与攻击手段进行溯源分析。接到应急需求后,奇安信应急响应调度中心立刻派单,安排距离 ...

某日,奇安信网络安全应急响应中心接到某行业用户的应急响应需求:有黑客组织在境外发布了该单位的重要敏感信息,已对该单位造成恶劣影响,用户仅能锁定可能泄露信息的系统,但无法确认入侵途径。用户需要对入侵途径与攻击手段进行溯源分析。接到应急需求后,奇安信应急响应调度中心立刻派单,安排距离用户最近的应急响应人员前往用户现场进行处置分析。

随着对事件发生情况逐步调研、日志分析与拓扑梳理等工作的推进,应急响应人员发现访问包含敏感信息系统的IP均来自本地的一台数据库服务器。进一步对该数据库服务器进行分析,发现该服务器的所有系统日志均被指向了/dev/null,这是一个高度可疑的操作。再深入分析后,发现root主目录的一个隐藏文件夹中包含一个未删除的电子表格文档,而文档内容恰恰是一批敏感数据。自此已经锁定该服务器为攻击者的跳板。

但问题也随之而来,该服务器部署在业务专网,不存在任何互联网的接入,那黑客是怎么进入的?应急响应人员立刻又与用户梳理起了业务关系,最终得到答案。

原来用户数据库服务器存在前置服务器,部署在业务专网的互联网区域。前置服务器提供了一个Web服务,对互联网进行了开放,同时可以通过网闸访问到后端数据库服务器。

随即应急响应人员对前置服务器进行了深度分析,并发现了更大的问题。通过对前置服务器的深度分析,发现前置服务器与后端数据库服务器使用相同的操作系统密码,前置服务器上已然存在两个隐蔽的Webshell、I2P匿名网络接入程序与远控木马;网闸的访问策略几乎未设置,前置服务器可对数据库服务器进行全端口访问;木马已于3个月前被植入,可见境外攻击者已经潜伏很长时间,充分摸索了用户网络环境,最终锁定了重要系统。如此长时间的“潜伏”,显然是有针对性的网络攻击。

至此,针对此次事件的溯源分析工作已基本完成。最后,应急响应人员全力配合网安固定证据,整理材料向用户单位领导进行了汇报,用户单位领导对于此次的应急成果和奇安信应急响应人员的专业能力和敬业态度给予了高度赞誉和认可。

企业安全防护建议:

1、系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现。

2、安装相应的防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力。

3、禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制。

4、有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问。

5、加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6774658440229814788/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
快乐赛车 福建11选5开奖 澳洲幸运8 秒速快3 澳洲幸运8 欢乐生肖 极速时时彩 北京赛车pk10玩法 欢乐生肖 欢乐生肖