应急响应 | 抽丝剥茧 重现境外黑客长期潜伏的蛛丝马迹

时间:2019-12-26 作者:奇安信安服

分享到:

某日,奇安信网络安全应急响应中心接到某行业用户的应急响应需求:有黑客组织在境外发布了该单位的重要敏感信息,已对该单位造成恶劣影响,用户仅能锁定可能泄露信息的系统,但无法确认入侵途径。用户需要对入侵途径与攻击手段进行溯源分析。接到应急需求后,奇安信应急响应调度中心立刻派单,安排距离用户最近的应急响应人员前往用户现场进行处置分析。

随着对事件发生情况逐步调研、日志分析与拓扑梳理等工作的推进,应急响应人员发现访问包含敏感信息系统的IP均来自本地的一台数据库服务器。进一步对该数据库服务器进行分析,发现该服务器的所有系统日志均被指向了/dev/null,这是一个高度可疑的操作。再深入分析后,发现root主目录的一个隐藏文件夹中包含一个未删除的电子表格文档,而文档内容恰恰是一批敏感数据。自此已经锁定该服务器为攻击者的跳板。

但问题也随之而来,该服务器部署在业务专网,不存在任何互联网的接入,那黑客是怎么进入的?应急响应人员立刻又与用户梳理起了业务关系,最终得到答案。

原来用户数据库服务器存在前置服务器,部署在业务专网的互联网区域。前置服务器提供了一个Web服务,对互联网进行了开放,同时可以通过网闸访问到后端数据库服务器。

随即应急响应人员对前置服务器进行了深度分析,并发现了更大的问题。通过对前置服务器的深度分析,发现前置服务器与后端数据库服务器使用相同的操作系统密码,前置服务器上已然存在两个隐蔽的Webshell、I2P匿名网络接入程序与远控木马;网闸的访问策略几乎未设置,前置服务器可对数据库服务器进行全端口访问;木马已于3个月前被植入,可见境外攻击者已经潜伏很长时间,充分摸索了用户网络环境,最终锁定了重要系统。如此长时间的“潜伏”,显然是有针对性的网络攻击。

至此,针对此次事件的溯源分析工作已基本完成。最后,应急响应人员全力配合网安固定证据,整理材料向用户单位领导进行了汇报,用户单位领导对于此次的应急成果和奇安信应急响应人员的专业能力和敬业态度给予了高度赞誉和认可。

企业安全防护建议:

1、系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现。
2、安装相应的防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力。
3、禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制。
4、有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问。
5、加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。
奇安信应急响应服务致力于成为“网络安全120”。2016年以来,奇安信应急响应服务已处置政企机构网络安全事件超过两千起,累计投入工时20000多个小时,为全国近千家政企机构解决网络安全问题,获得了用户的高度认可和一致好评。

奇安信 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

奇安信 在线客服 奇安信 95015

您对奇安信的任何疑问可用以下方式告诉我们

将您对奇安信的任何疑问

用以下方式告诉我们