奇安信：2020工业互联网安全发展与实践分析报告（54页）.pdf

1、2020 年 3 月，某大型化工集团发现多台服务器和主机文件被加密，遭受勒索病毒攻击，紧急向奇安信工业安全应急响应中心求助，希望尽快排查并溯源。工业安全应急响应中心专家通过对勒索信和加密文件后缀分析，确认勒索病毒为phobos。针对服务器的基本信息，进程，端口，网络连接，服务等进行排查，并提取 3 台服务器日志，分析发现，内网一台主机对外映射了远程桌面，且密码为弱口令，被暴力破解，登陆成功，然后利用此主机对内网其他服务器和主机进行远程桌面弱口令爆破，对爆破成功的服务器和主机植入勒索病毒，将数据和文件加密勒索。通过对现场情况进行分析和对事件进行推断，本次事件主要是由于客户服务器配置不当，直接对外

2、映射了远程桌面端口，进而攻击者有针对性的对远程登录爆破、人工投毒执行的勒索攻击。2020 年 10 月，奇安信工业安全应急响应团队接到某大型汽车制造企业的应急响应请求，某重要服务器感染勒索病毒，导致业务系统无法正常运行。工业安全应急响应专家抵达现场后，通过根据受害主机文件被加密的后缀（.C2H）及恢复数据的勒索信息提示判断该主机感染了 GlobeImposter 勒索病毒。攻击者对服务器 A 进行了暴力破解，并成功获取服务器 A 控制权，进而以服务器 A 作为跳板，对位于内网中同一网段的服务器进行投毒，先利用 Kprocesshacker3 关闭杀毒软件，然后对机器上的文件进行加密。通过本次安

3、全事件，该汽车制造企业暴露了诸多安全隐患，包括未定期开展安全评估工作，导致内部服务器存在严重高危漏洞；安全域划分不明确，较为混乱；安全意识仍需加强等。2020 年 6 月，工业安全应急响应团队接到某大型食品制造企业遭受挖矿蠕虫病毒攻击事件的应急请求，应急专家立即赶往现场进行排查和溯源工作。应急专家发现该食品制造企业内网大量服务器出现内存、CPU 等资源被恶意占用的现象，已经导致部分服务器业务中断，无法正常运行。工业安全应急响应专家通过对内网服务器、终端进程、日志等多方面进行分析，判定客户内网服务器所感染病毒为“黑球”挖矿蠕虫。该木马会在局域网内进行蠕虫传播，窃取服务器密码进行横向攻击，并且会创

4、建大量服务耗尽服务器资源。2020 年 8 月，某大型煤矿集团一服务器发现感染挖矿蠕虫病毒，往同段其它服务器 445以及 6379 端口发送大量感染数据包，服务器自身 CPU 利用率较高，机器卡顿，严重影响正常业务的使用。奇安信安全服务人员紧急向该煤矿集团进行现场应急响应服务。安全专家发现受感染的服务器向内部某网段发送大量攻击数据包，并不断链接外部矿机地址，结束进程后会自动重启，相关病毒文件删除后会自动生成，存在守护进程。采集受感染服务器的系统日志并获取挖矿病毒文件的落地时间分析发现，攻击者使用通用弱密码 对服务器发起爆破行为并爆破成功，通过某台服务器进行暴力破解服务器 RDP 服务进行工具自动化投毒，导致服务器被挖矿蠕虫病毒感染。