近日,美國知名GPS導(dǎo)航設(shè)備及運動穿戴設(shè)備制造商佳明(Garmin)的服務(wù)器遭到了黑客的攻擊,導(dǎo)致國際服務(wù)器癱瘓,除了中國區(qū)以外的全球用戶無法同步自己的運動數(shù)據(jù)。俄羅斯黑客組織Evil Corp宣布對該事件負責(zé),這款名為WastedLocker的勒索軟件導(dǎo)致了這次全球性的服務(wù)器癱瘓。
據(jù)稱,Evil Corp要求佳明公司向其支付1000萬美金的“贖金”,否則將刪除服務(wù)器上的所有數(shù)據(jù)。佳明美國官方在社交媒體發(fā)表聲明稱美國服務(wù)器停機,同時旗下App Garmin Connect也受到了影響。截止當(dāng)前,佳明國際服務(wù)器依然沒有恢復(fù)正常。
現(xiàn)如今,網(wǎng)絡(luò)安全環(huán)境日趨復(fù)雜,越來越多的企業(yè)遭受到來自不法分子的網(wǎng)絡(luò)攻擊行為,這些行為不僅影響企業(yè)的正常運轉(zhuǎn),更會導(dǎo)致重要數(shù)據(jù)的泄露和曝光,給企業(yè)造成二次打擊。這給廣大企事業(yè)單位都敲響了警鐘,也給眾網(wǎng)絡(luò)安全企業(yè)賦予了更重的任務(wù)與職責(zé),需要切實為企事業(yè)單位做好網(wǎng)絡(luò)安全防護監(jiān)控。
某市公安局,在與聚銘網(wǎng)絡(luò)達成全面合作的情況下,借助我司的網(wǎng)絡(luò)流量智能分析審計系統(tǒng),幫助其信息科部門發(fā)現(xiàn)了內(nèi)網(wǎng)許多的安全隱患與問題,如黑域名、黑IP和弱口令等等,具體情況如下:
首先,經(jīng)過系統(tǒng)的搜集分析,發(fā)現(xiàn)了某臺主機設(shè)備最近一直在瘋狂的外連域名:attendecr.com。通過強大的雙品牌(聚銘&騰訊雙引擎)威脅情報庫進行的溯源查詢,斷定其外連域名是黑域名,標簽是遠控+NrsMiner挖礦僵尸網(wǎng)絡(luò)。
隨后,又通過多方驗證,結(jié)果和我司的溯源查詢完全一致。
域名attendecr.com指向的是個WannaMine家族的挖礦病毒,是一個利用“永恒之藍”漏洞攻擊武器傳播的挖礦僵尸網(wǎng)絡(luò)。
該僵尸網(wǎng)絡(luò)通過占用僵尸機的CPU和GPU算力挖取門羅幣獲利。感染用戶設(shè)備后,它可以通過創(chuàng)建微型Web服務(wù)端,供內(nèi)網(wǎng)其它無法上網(wǎng)的主機下載更新,然后將用于挖礦的文件下發(fā)到每臺僵尸機中,并利用漏洞攻擊武器感染局域網(wǎng)中的其他設(shè)備。
其危害有如下兩點:
1.病毒感染設(shè)備后,可以通過用戶設(shè)備進行挖礦,耗費用戶設(shè)備中大量的CPU,影響用戶正常業(yè)務(wù),甚至造成用戶設(shè)備硬件損壞;
2.病毒可以通過漏洞攻擊武器在內(nèi)網(wǎng)中傳播,導(dǎo)致局域網(wǎng)中的所有設(shè)備都有可能感染該病毒;
在了解上述相關(guān)情況后,經(jīng)過確認后發(fā)現(xiàn),中了挖礦病毒的是分局警務(wù)保障室的一臺管理主機設(shè)備;信息部科長立即命令其整改,通過專業(yè)的查殺工具進行查殺處理后,這臺主機沒有再爆出此類型的安全問題。
由于市公安局的辦公系統(tǒng)較多,人員的賬戶分布也眾多,關(guān)于辦公人員是否使用了弱口令的問題,科長也是非常的重視。因為之前發(fā)生了某位辦公人員在重要業(yè)務(wù)系統(tǒng)中使用了弱口令,導(dǎo)致被不法分子進行了口令的暴力破解的情況,且成功登錄了業(yè)務(wù)系統(tǒng),造成了不小的損失。
而關(guān)于弱口令檢測這方面也是流量審計分析產(chǎn)品的一大特色,短短的一周之內(nèi),聚銘網(wǎng)絡(luò)流量智能分析審計系統(tǒng)就為公安局發(fā)現(xiàn)了總共222臺主機上使用了弱口令。針對弱口令問題的具體情況也通過智能報表的形式上報給了信息部科長,科長表示嚴格按照報表進行逐一處理,真的是非常方便,極大地解放了運維人員無法定位弱口令問題的困境。
通過本次內(nèi)網(wǎng)安全問題分析,我們發(fā)現(xiàn):純內(nèi)網(wǎng)環(huán)境并不是很安全,也不一定很牢固;如弱口令這一塊很容易成為網(wǎng)絡(luò)攻擊的突破口,這也是非常值得政務(wù)部門注意的一點。