奇安信：2020年度漏洞态势观察报告（49页）.pdf

1、应急人员分析发现对外攻击的 IP 为该公司内网某系统的出口地址，因该系统供应商要求对系统进行远程维护，特将服务器的 3389 端口映射到公网。通过对 IPS、负载均衡、防火墙以及服务器系统日志进行分析排查，发现该系统已经被多个地区/国家的 IP 通过 3389 端口进行过远程登录，并植入木马文件。对该服务器系统部署的文件及业务系统进行排查，发现此服务器存在任意文件写入漏洞和两个 Webshell 后门文件。经分析研判最终确定，攻击者通过内网某系统映射在公网的 3389 端口进行远程登录，上传Webshell 后门 1 来执行系统命令；利用该系统任意文件写入漏洞，上传 Webshell 后门 2

2、 来上传任意文件，写入恶意木马文件。之后利用木马盗取数据，对外网发起异常连接，进行数据传输。1) 加强日常安全巡检制度，定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查，及时修复漏洞、安装补丁，将信息安全工作常态化。2) 加强设备权限管理，对敏感目录进行权限设置，限制上传目录的脚本执行权限，不允许配置执行权限等。3) 建议在服务器上部署安全加固软件，通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口（如 3389、445、139、135 等）、防范漏洞利用等方式，提高系统安全基线，防范黑客入侵。4) 禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用

3、白名单的方式，在出口防火墙加入相关策略，对主动连接 IP 范围进行限制。5) 建议安装相应的防病毒软件，及时对病毒库进行更新，并且定期进行全面扫描，加强服务器上的病毒清除能力。2020 年 9 月，某公司十余台服务器感染勒索病毒，文件遭勒索加密，因此向奇安信安服团队发起应急响应请求，查询中毒原因。应急人员抵达现场后，查看加密文件后缀及勒索病毒界面，判断该病毒是 Phobos 家族勒索病毒。通过现场对多台受害服务器进行日志分析，并与相关工作人员沟通，发现公司内部员工曾使用个人电脑通过非官方渠道下载各类破解版软件，导致个人电脑感染勒索病毒。同时内网多台服务器均开放 3389 远程桌面服务端口，勒索

4、病毒进入内网后对内网服务器进行 RDP 爆破，爆破成功后释放勒索病毒，加密文件。2020 年 10 月，安服团队接到某政府部门应急请求，其安全设备检测到挖矿木马外连告警，内部多台服务器感染挖矿木马，需要进行排查分析并溯源。安服应急人员到达现场后，通过排查安全设备告警日志、受害主机日志以及对木马样本进行分析发现，内网多台 Web 应用服务器对外开放 SSH 服务 22 端口并且使用相同的弱口令、多台受害服务器均被植入 SSH 扫描爆破脚本和挖矿木马程序，并设置为开机自启动。经过最终研判分析确定，攻击者首先对网站应用服务平台进行端口探测，发现开放 22 端口SSH 服务，对 SSH 服务进行弱口令爆破成功登录服务器，随后植入挖矿木马和 SSH 扫描爆破脚本并添加至服务器自启动项，攻击者采用相同的密码利用 SSH 扫描爆破脚本对内网服务器进行爆破，并植入挖矿木马，最终导致内网多台服务器沦陷。