HVV经验分享--防守方第二期 HVV中期防守
近年来,随着大数据、物联网、云计算的飞速发展,网络攻击事件逐年增加,攻击危害程度也越发严重,攻击行为也越发重要,从企业逐渐伸向国家,国家关键信息基础设施建设也面临着无形威胁。
面对这种情况,国家对网络安全进行布局,HVV行动应运而生。
我公司此次便派遣网络安全工程师进入事业单位进行HVV,保障事业单位的网络安全。
HVV中期防守:
HVV期间设置五个组,如下:
(1)监控组:负责实时汇报监控平台上的高危告警;
(2)研判组:负责实时研究判断监控组反馈的高危告警是否为误报;
(3)处置组:负责应急处置研判组反馈的真实攻击告警事件;
(4)溯源组:负责溯源攻击告警事件及攻击者相关信息;
(5)反制组:负责反制钓鱼邮件中的钓鱼网站或通过社工方法反制红队。
在此次HVV中,遭遇攻击列举如下:
(1)钓鱼攻击
HVV防守期间,发现内网一台终端不断对内网其它主机进行扫描和爆破。处置人员在将此终端进行断网隔离后,溯源发现该主机被植入木马,是员工点击钓鱼链接后下载的木马程序,该钓鱼链接大致是“为保证系统正常运行,请在下班前点击链接升级系统”。处置人员立即清除木马程序,并将杀毒软件更新到最新病毒库,开启杀毒软件对邮件附件的扫描功能。并对员工进行安全意识培训。
(2)服务器0day
HVV期间在威胁告警平台发现一台服务器一直在进行横向扩散,主要是powereshell恶意脚本攻击和远控木马攻击。得到告警信息后,处置人员便在服务器的nginx原始日志中查看该时间段的攻击行为,发现是远程代码执行拿到权限后,并进行木马植入,恶意用户test添加。使得服务器被种下名为office的cs木马,以及名为1.ps1的恶意脚本文件等操作。处置人员定位到office.exe远控木马后,进行现场病毒取样,微步沙箱云分析,得到外连ip。确定是0DAY后,及时更新到安全版本,清除远控木马office.exe,1.ps1,删除异常账号test。
HVV期间发现客户内网存在的问题如下:
(1)内网存在大量弱口令未更改,admin,123456等弱密码比比皆是,或更改的强密码记录在excel中;
(2)部分主机开启了445、3389、22等端口,安全设备未设置相关策略;
(3)部分服务器未安装杀毒软件;
(4)人员安全意识不足,遭受钓鱼邮件攻击,导致权限丢失,数据泄露。
为此,我公司提出建议如下:
(1)整改内网所有弱口令,密码至少要有特殊字符大小写和数字,设置安全登录次数,重要业务还要设置单点登录;
(2)关闭所有主机和服务器的远程传播端口;
(3)服务器下载安装杀毒软件后,再进行全盘查杀;
(4)对人员安全意识进行培训,不随意点来历不明的邮件和网址,下载官方软件。
中泊研安全技术团队多次参与省内外大型HVV活动,通过以红蓝两方的视角,渗透测试+安全服务的模式多次取得优异成绩,得到用户的认可。