В последние годы, помимо программ-вымогателей, все большую популярность приобретают трояны-майнеры. Большинство из них используют эксплуатацию уязвимостей, «Eternal Blue Downloader», подбор слабого пароля и другие средства для завершения атаки. Некоторые из них благодаря своей сильной маскировке. средства будут использоваться, чтобы избежать активного времени жертвы и использовать время простоя жертвы для майнинга. Если дела будут продолжаться таким образом, сервер, видеокарта или процессор будут заняты в течение длительного времени, что приведет к снижению производительности компьютера. В то же время злоумышленник будет использовать для атаки контролируемый хост майнинга. Другие устройства могут привести к прерыванию работы или даже к более серьезным инцидентам в области кибербезопасности.

1. На официальном сайте есть уязвимость загрузки, заражающая майнинг-троянов.

(1) Обзор мероприятия

Однажды автомобильная группа обнаружила сетевую аномалию, помешавшую нормальному использованию. В службу безопасности поступила заявка на экстренное реагирование, и специалисты экстренного реагирования прибыли на место в течение часа.

Эксперты по реагированию на чрезвычайные ситуации входят в систему для устранения неполадок и анализа отклонений.,Обнаружено, что вредоносная программа запускается с помощью PowerShell-скрипта.,и будет изC&CПолучение адресаPayLoadи программа дистанционного управления,Таким образом, было установлено, что он заражен трояном-майнером.,дальнейший анализ,Вредоносное ПО имело характеристики червя,Способен самовоспроизводиться и распространяться по сети.,Путь распространения этого трояна в основном заключается в использовании лазейки MS17-010 (Eternal Blue) или использовании информации об учетной записи и пароле, захваченной на этой машине.,Войдите на другие машины для распространения. Проверив внутренние машины, обнаружилось, что патч MS17-010 не установлен.,И все серверы используют единый пароль.

Подводить итоги,Злоумышленник использовал официальную страницу группы для загрузки лазейки и получения разрешений сервера.,Выпуск майнингового трояна,Подключитесь к майнинг-пулу и загрузите сC&Cсерверсередина Загрузить вредоносную нагрузку,Воспользовавшись тем, что MS17-010 не установлен внутри сервера и все серверы используют один и тот же пароль.,Атаковать другой сервер,В результате были заражены несколько серверов во внутренней сети.,Подключайтесь к майнинг-пулам отдельно,Загрузить вредоносную нагрузку,что приводит к серьезному повреждению сети.

(2) Рекомендации по защите

• Избегайте использования слабых паролей,Надежные пароли следует использовать для служб учетных записей сервера и открытых портов;
• Регулярно обновляйте компьютерные патчи,Используйте правильные каналы,Загрузите соответствующий патч;
• Должен регулярно поддерживаться,Контент включает, помимо прочего,：ПроверятьсервердействоватьсистемаCPUЯвляется ли уровень использования ненормальным?、Есть ли подозрительный процесс?、Есть ли в запланированных задачах подозрительные элементы;
• Функция загрузки файлов для системы,Загружать файлы, используя белый список,Все загрузки, не включенные в белый список, запрещены.,Разрешения для каталога загрузки соответствуют принципу наименьших привилегий;
• Развертывание современного оборудования для мониторинга угроз;
• Рекомендуется установить соответствующее антивирусное программное обеспечение или развернуть антивирусный шлюз на сервере.,Своевременно обновляйте вирусные базы,и выполнять регулярное комплексное сканирование,Расширьте возможности удаления вирусов на сервере.

2. Ошибочное нажатие на вредоносные ссылки и заражение их майнинговыми троянами.

(1) Обзор мероприятия

Однажды группа безопасности получила от компании запрос на экстренное реагирование на инцидент, связанный с майнинг-трояном. Несколько терминалов в ее внутренней сети были атакованы майнинг-троянами. Сервер завис, процесс работал медленно, и он не мог нормально работать.

После того, как сотрудники службы экстренной помощи прибыли на место происшествия, они проанализировали сервер интрасети, терминальные процессы, журналы и т. д. и обнаружили, что сервер интрасети и процессоры терминалов были полностью заняты процессом powershell. Все серверы и терминалы имели открытые служебные порты, такие как. 135, 139 и 445, и все они были открыты. Патч "Eternal Blue" не установлен.

После анализа и расследования сотрудники службы экстренной помощи успешно нашли источник проблемы, подавили и уничтожили вирус. Этот инцидент произошел главным образом из-за низкой осведомленности о безопасности внутреннего персонала, который нажимал на вредоносные ссылки, чтобы заразить терминал, а затем использовал зараженный терминал для взлома слабого пароля SMB сервера, чтобы получить учетную запись и пароль сервера, и использовал Сервер как точка прорыва для получения доступа к внутренней сети. Хосты с уязвимостями «Eternal Blue» подвергаются атакам, внедряют трояны-майнеры и распространяются по горизонтали с целью заражения других терминалов во внутренней сети.

(2) Рекомендации по защите

• системы, пользователям, связанным с приложениями, следует избегать использования слабых паролей,в то же время,Следует использовать очень сложные пароли.,Попробуйте включить смешанный пароль, состоящий из прописных и строчных букв, цифр, специальных символов и т. д.,Повысьте осведомленность администраторов о безопасности,Отключить повторное использование пароля,Старайтесь избегать использования одного пароля для нескольких целей;
• Запретить серверу активную инициацию запросов на внешние соединения.,Для тех, кому необходимо передать общие данные во внешние источники,Необходимо использовать белый список,Добавьте соответствующие политики в выходной брандмауэр.,Ограничить диапазон IP активных подключений;
• Закройте удаленные службы интрасети, общие порты и другие опасные сервисные порты;
• Регулярно обновляйте компьютерные патчи,Используйте правильные каналы,Например, официальный сайт Microsoft,Загрузите соответствующий патч;
• Развертывание программного обеспечения для усиления безопасности на сервере,Ограничивая ненормальное поведение при входе в систему, включая функции защиты от нарушений, отключая или ограничивая опасные порты, предотвращая эксплуатацию лазейки и т. д.,Улучшить базовый уровень безопасности,Предотвратить проникновение хакеров;
• Развертывание передового оборудования для мониторинга угроз для своевременного обнаружения вредоносного сетевого трафика и в то же время дальнейшее усиление возможностей отслеживания для обеспечения надежной основы отслеживания при возникновении инцидентов безопасности;
• Проводить регулярные проверки системы、Оценка безопасности на уровне приложений и сети、Тестирование на проникновение и аудит кода позволяют заранее выявлять текущие проблемы.、Угрозы безопасности в приложении;
• Усильте обучение персонала по вопросам безопасности, не открывайте вложения электронной почты из неизвестных источников и не загружайте программное обеспечение с неизвестных веб-сайтов.

3. Пакет обновления программного обеспечения содержал «Eternal Blue Downloader», вызывавший заражение частной сети троянами-майнёрами.

(1) Обзор мероприятия

Однажды производственная компания была заражена «Eternal Blue Downloader». Около 10 подчиненных подразделений в частной сети были отравлены, и из-за вспышки вируса нормальная деятельность была прервана. После получения запроса о помощи команда службы безопасности в кратчайшие сроки связалась с компанией и помогла разобраться в вопросе.

1) Феномен заключается в том, что запланированные задачи начали злонамеренно добавляться на сервер Windows 11 февраля. Они все равно добавлялись после многократного удаления, а системный брандмауэр был включен без причины, влияя на работу собственных систем компании. ;

2) Проверив на компьютере, я обнаружил, что имена трех вновь созданных запланированных задач: Ddrivers, DnsScan и WebServers, и нашел на сервере соответствующие три программы;

3) В то же время в каталоге C:\windows\temp\ были обнаружены два подозрительных файла, а именно файл Powershell с именем «m.ps1» и файл конфигурации с именем «mkatz.ini». После анализа «m.ps1» представляет собой запутанный mimikatz, а «mkatz.ini» — пароль учетной записи локальной операционной системы и другую информацию аутентификации, полученную с помощью mimikatz;

4) Проверьте сетевое подключение и обнаружите, что svchost.exe во временном каталоге инициирует большое количество активных действий подключения «один ко многим» через порт 445 к интрасети 10.*.196.* и внешней сети 170.*. .239.* IP-адреса сегмента C, подозревается атака сканирования;

5) В результате исследования операционной системы с декабря 2022 года было создано большое количество журналов входа в систему IPC, причем даже количество успешных и неудачных входов в систему одинаково, среди них 10.*.196.* (SU**). *NG) имеет большое количество неудач, а количество успешных попыток и поведение соответствуют взлому методом грубой силы. И в 5:53 утра до запланированного времени запуска задачи 10 февраля все еще было большое количество неудачных входов в систему и небольшое количество успешных действий входа в систему IPC;

6) В ходе анализа файловых угроз было обнаружено, что в процессе работает образец программы, связанной с вирусом-вымогателемwancry. Вредоносная программа инициирует большое количество подключений через порт 445 к различным IP-адресам в Интернете, и возникает подозрительное событие. Поведение атаки на уязвимость Eternal Blue;

7) Программа была обнаружена через песочницу и признана вредоносной программой с оценкой 10. Основные метки: «загрузчик», «эксплойт уязвимости», «песочница обнаружения» и «упаковщик». Действия с высоким риском включают в себя: самостоятельную установку для автоматического запуска, создание подозрительного процесса Powershell, создание подозрительного файла, создание файла m.ps1, создание подозрительного процесса и т. д.;

8) Среди них файл m.ps1 во временной папке был создан программой svchost.exe. В то же время был обнаружен вирус-червь для майнинга WannaMiner. Проанализировав вредоносную программу, мы получили доступ к некоторым фиксированным ссылкам. инициируется программой;

9) Обнаружение таких ссылок, как i.haqo.net и p.abbny.com, с помощью больших данных анализа угроз TI связано с ранней крупномасштабной атакой хакеров, использующих сторонний канал обновления программного обеспечения для распространения вирусов и троянских коней. инфекции;

10) Были взяты образцы с нескольких серверов, и на двух других серверах были обнаружены трояны, черви для майнинга и эксплойты уязвимостей. Было обнаружено, что ранние хакеры распространяли вирусы через сторонний канал обновления программного обеспечения и соответствующие вредоносные программы.

В результате анализа выяснилось, что распространитель файлов распространил пакет обновления программного обеспечения по всей стране после обновления стороннего программного обеспечения. Троян «Eternal Blue Downloader», содержащийся в стороннем пакете обновления программного обеспечения, имел внешнее соединение с пулом для майнинга. вирусные трояны, сканирование, эксплуатация и другие функции привели к заражению некоторых серверов и терминалов почти в 10 подразделениях интранета компании и ее частной сети майнингом, червями и другими вирусами, что нарушило нормальный бизнес. Сотрудники экстренных служб проанализировали и отследили источник инцидента, определили ключевые точки проблемы и развернули виртуализированную антивирусную платформу для борьбы с вирусами, чтобы помочь снизить потери. После семи часов экстренного реагирования работа подчиненных подразделений частной сети вернулась в нормальное русло.

(2) Рекомендации по защите

• Для фокуса сервер и Хозяин,Завершить разделение домена сетевая безопасность и своевременно применить патч MS17-010лазейки,Предотвращайте боковые атаки, использующие эту лазейку;
• Включите брандмауэр Windows и попробуйте закрыть неиспользуемые порты высокого риска, такие как 3389, 445, 139 и 135;
• Установите уникальный пароль для каждого компьютера,А сложность требует комбинированной структуры, состоящей из прописных и строчных букв, цифр и специальных символов.,Цифры пароля достаточно длинные;
• Разверните оборудование для полного мониторинга трафика, чтобы своевременно обнаруживать вредоносный сетевой трафик и отслеживать его источник.

4. «Eternal Blue Downloader» вызывает трояны-майнеры во внутренней сети

(1) Обзор мероприятия

Однажды группа службы безопасности получила запрос на экстренное реагирование на инцидент с майнингом «Eternal Blue Downloader» от правительственного подразделения. Большое количество серверов в ее интрасети злоумышленно заняло серверную память, процессор и другие ресурсы, что привело к нарушению работы некоторых серверных служб. прерывается и не может нормально работать.

После того, как сотрудники службы экстренной помощи прибыли на место, они связались с подразделением и узнали, что неделю назад на сервере было большое количество 445 подключений. Со временем ресурсы сервера были исчерпаны, в результате чего бизнес не смог работать. обычно. Анализируя сервер интрасети, терминальные процессы, журналы и другие аспекты, а также на основе результатов расследования, проведенного на месте персоналом службы экстренной помощи, было установлено, что вирус, зараженный сервером интрасети, представлял собой майнинг-червь «Eternal Blue Downloader». , который будет использовать Eternal Blue для уязвимости The Zhilan, распространяет червей в локальной сети, крадет пароли серверов для боковых атак и создает большое количество сервисов для истощения ресурсов сервера. Благодаря использованию написанных сценариев пакетного сканирования и уничтожения для сканирования и уничтожения вирусов на компьютерах в сети ресурсы, занимаемые вредоносным трафиком и вирусами в сети, были значительно сокращены, и нормальная работа была восстановлена.

(2) Рекомендации по защите

• Повторно проверьте IP-адреса источника атаки, обнаруженные на этапе обнаружения.,Если позволяют условия, переустановите систему и перераспределите бизнес;
• Установите последнюю версию Tianqing (с функцией защиты от нарушений) и усиление сервера Tianqing для предотвращения взлома;
• Рекомендуется развернуть полное оборудование для мониторинга дорожного движения.,Может вовремя обнаружить неизвестный атакующий трафик и расширить возможности отслеживания источников атак.,Эффективно предотвращайте перезапись журналов в результате опроса или злонамеренную очистку.,Эффективно гарантировать, что расследование атак может быть проведено после падения сервера.,Проанализируйте причины;
• Рекомендуется провести проверку безопасности во внутренней сети.,Объем проверки включает, помимо прочего, чистку задней двери.、системаиОбнаружение уязвимостей веб-сайтаждать；
• Попробуйте закрыть неиспользуемые порты высокого риска, такие как 3389, 445, 139, 135 и т. д.,Рекомендуемое развертывание в интрасетиБастионная машинаподобные устройства,и разрешать только Бастионная МашинаIP обращается к порту удаленного управления сервера (445, 3389, 22);
• Своевременно меняйте пароль пользователя,Менеджеры паролей, такие как LastPass, также можно использовать для шифрования и хранения связанных паролей.,Избегайте использования локального открытого текста для хранения.

5. Недостаточная защита безопасности приводит к заражению терминалов и серверов майнинговыми троянами.

(1) Обзор мероприятия

Однажды группа реагирования на чрезвычайные ситуации получила экстренный запрос. Около 1000 терминалов и серверов в сети определенного подразделения в медицинской отрасли были заражены большим количеством вирусов. Клиентские компьютеры время от времени перезагружались и отображали синие экраны. серьезно влияет на нормальную работу бизнес-системы.

После исследования и анализа соответствующих процессов, файлов и служб сотрудники службы экстренной помощи установили, что интранет подразделения был скомпрометирован из-за заражения трояном «Eternal Blue Downloader», который вызвал распространение вирусов. При проверке скомпрометированных хостов во внутренней сети было обнаружено, что на локальных хост-системах не было установлено антивирусное программное обеспечение. Было большое количество файлов .exe со случайными символами в C:\. Каталог Windows, а в системных службах обнаружено большое количество служб, соответствующих exe. При анализе трафика, перехваченного устройством Sky Eye, было обнаружено, что в интранете существует 11 типов вирусов, включая черви, вирусы для майнинга, вирусы-вымогатели, трояны удаленного управления, ботнеты и другие вирусы, а также хост-порты высокого риска, такие как как 135, 137, порты 138 и 445 открыты и могут распространять вирусы. Кроме того, в ходе проверки сотрудники экстренных служб обнаружили, что пароль к учетной записи администратора базы данных sqlserver такой же, как и у всех серверов в сети, а на сервере базы данных не установлено никаких средств защиты, что позволило трояну быстро распространился по интранету и существует. Большое количество внешних связей привело к разрушению большого количества машин.

(2) Рекомендации по защите

• системы, пользователям, связанным с приложениями, следует избегать использования слабых паролей,Следует использовать очень сложные пароли.,Попробуйте включить смешанный пароль, состоящий из прописных и строчных букв, цифр, специальных символов и т. д.,Повысьте осведомленность администраторов о безопасности,Отключить повторное использование пароля；
• Эффективно усилить политики контроля доступа ACL,Уточнение детализации политики,Строго ограничивайте доступ между различными областями сети и серверами по регионам и предприятиям.,Используйте механизм белого списка, чтобы разрешить открытие только определенных портов, необходимых для бизнеса.,Доступ к другим портам запрещен.,Только IP-адрес администратора может получить доступ к порту управления.,нравитьсяFTP、Служба базы данных、Порты управления, такие как удаленный рабочий стол;
• Развертывание передового оборудования для мониторинга угроз для своевременного обнаружения вредоносного сетевого трафика и в то же время дальнейшее усиление возможностей отслеживания для обеспечения надежной основы отслеживания при возникновении инцидентов безопасности;
• Рекомендуется Развертывание программного обеспечения для усиления безопасности на сервере,Ограничивая ненормальное поведение при входе в систему, включая функции защиты от нарушений, отключая или ограничивая опасные порты, предотвращая эксплуатацию лазейки и т. д.,Улучшить базовый уровень безопасности,Предотвратить проникновение хакеров;
• Проводить регулярные проверки системы、Оценка безопасности на уровне приложений и сети、Тестирование на проникновение и аудит кода позволяют заранее выявлять текущие проблемы.、Угрозы безопасности в приложении;
• Укрепить систему ежедневного контроля безопасности,Регулярно проверяйте конфигурацию системы, координацию сетевого оборудования, журналы безопасности и реализацию политики безопасности.,Нормализовать работу по информационной безопасности.

6. Сохранение закрытых ключей SSH локально приводит к заражению виртуальной машины троянскими программами для майнинга.

(1) Обзор мероприятия

Однажды группа реагирования на чрезвычайные ситуации получила запрос от интернет-компании. Ее отдел безопасности обнаружил, что десятки тысяч виртуальных машин в интранете компании были заражены троянами-майнерам. Сотрудники службы экстренной помощи немедленно бросились на место, чтобы провести расследование и отслеживание.

Сотрудники службы экстренной помощи проанализировали сервер жертвы и обнаружили, что несколько хостов-жертв в интрасети локально хранят закрытые ключи SSH других компьютеров в интрасети и могут войти на сервер Ansible без пароля. Злоумышленник сначала воспользовался уязвимостью удаленного выполнения команд Consul, чтобы войти в интрасеть, загрузил и запустил трояна-майнера, а также использовал закрытый ключ ssh, хранящийся локально, для горизонтального распространения. После заражения сервера Ansible он распространил большое количество сообщений через ansible/. соль/нож и, наконец, в результате были затронуты десятки тысяч виртуальных машин во внутренней сети. Сотрудники службы экстренной помощи немедленно приняли меры по очистке файлов аутентификации ключей, подозрительных элементов задач плана, троянских демонов и вредоносных файлов, созданных трояном-майнером.

Ansible — это инструмент автоматизации с открытым исходным кодом, который может управлять серверами в пакетном режиме. Администраторы могут использовать Ansible для одновременного выполнения инструкций (задач) на сотнях или тысячах компьютеров. В этом инциденте были заражены десятки тысяч виртуальных машин. Крах сервера Ansible стал основным фактором, приведшим к массовому распространению майнинговых троянов. Предприятиям следует полностью защитить и изолировать такие важные серверы, чтобы предотвратить их контроль со стороны злоумышленников. вызывая ненужные потери.

(2) Рекомендации по защите

• системы, пользователям, связанным с приложениями, следует избегать использования слабых паролей,Следует использовать очень сложные пароли.,Попробуйте включить смешанный пароль, состоящий из прописных и строчных букв, цифр, специальных символов и т. д.,Повысьте осведомленность администраторов о безопасности,Запрещено повторное использование паролей и сохранение паролей локально;
• Важные бизнес-операции и основные базы данных следует размещать в отдельных зонах безопасности.,Проводить охранно-оборонительные работы на региональных границах.,Строго ограничьте доступ к важным областям и отключите ненужные и небезопасные службы;
• Рекомендуется развернуть систему управления безопасностью виртуализации на сервере или в виртуализированной среде, чтобы улучшить возможности защиты безопасности, такие как защита от вредоносных программ и насильственный взлом;
• Развертывание передового оборудования для мониторинга угроз для своевременного обнаружения вредоносного сетевого трафика и в то же время дальнейшее усиление возможностей отслеживания для обеспечения надежной основы отслеживания при возникновении инцидентов безопасности;
• Проводить регулярные проверки системы、Оценка безопасности на уровне приложений и сети、Тестирование на проникновение и аудит кода позволяют заранее выявлять текущие проблемы.、Угрозы безопасности в приложении;
• Укрепить систему ежедневного контроля безопасности,Регулярно проверяйте конфигурацию системы, координацию сетевого оборудования, журналы безопасности и реализацию политики безопасности.,Нормализовать работу по информационной безопасности.

7. Уязвимость на сайте приводит к заражению сервера майнинговыми троянами.

(1) Обзор мероприятия

Однажды группа реагирования на чрезвычайные ситуации получила запрос на экстренное реагирование от крупного предприятия, на сервер которого была установлена ​​троянская вирусная программа. В системе ситуационной осведомленности появилась тревога о вирусе, требующая расследования бэкдора сервера и определения источника. нападение нужно отследить.

После расследования сотрудники службы экстренной помощи обнаружили, что 70 серверов компании были заражены последней версией трояна-майнера SystemdMiner, что имело горизонтальное распространение внутри интрасети, и ни на одном из серверов не было установлено антивирусное программное обеспечение. Путем анализа образцов вирусов и журналов зараженных машин было установлено, что злоумышленник использовал уязвимость официального сервера веб-сайта компании, чтобы получить контроль над сервером веб-сайта, получил доступ к хосту машины-бастиона посредством сканирования и перебора и установил прокси-серверы обратного порта FRP. на нескольких серверах в интрасети и загрузите троянскую программу майнинга SystemdMiner, настройте запланированные задачи, регулярно подключайтесь к доменному имени пула майнинга и используйте Consul rce/Hadoop rce/Jenkins rce/PostgreSQL. rce, уязвимость со слабым паролем хост-системы вторгается в другие операционные системы хоста в компьютерном зале IDC, использует автоматизированные инструменты эксплуатации и обслуживания (salt/ansible/chef-knife) для горизонтального распространения и использует для распространения ключ SSH, сохраненный локально на скомпрометированном хосте. сам.

В конечном итоге было установлено, что злоумышленник получил контроль над сервером веб-сайта с помощью официальной уязвимости веб-сайта, получил доступ к машине-бастиону посредством сканирования и перебора, а также развернул прокси-инструмент Frp. Войдите на несколько серверов через хост-бастион, разверните инструменты сканирования для сканирования в интрасети и запустите программы майнинга через «сервер автоматизированной эксплуатации и обслуживания». Используйте «сервер автоматизированной эксплуатации и обслуживания» для развертывания агентов Frp в качестве трамплина для горизонтального распространения. и в конечном итоге контролировать почти 70 серверов.

(2) Рекомендации по защите

• Добавьте обнаруженные незаконные доменные имена, относящиеся к майнинг-пулу, в черный список через настройки защиты безопасности и установите политику безопасности для блокировки доступа;
• системы, пользователям, связанным с приложениями, следует избегать использования слабых паролей,Следует использовать очень сложные пароли.,Повысить осведомленность внутреннего персонала о безопасности,Отключить повторное использование пароля；
• Повысить осведомленность внутреннего персонала об управлении паролями и запретить локальное сохранение паролей;
• Рекомендуется установить антивирусное программное обеспечение,Своевременно обновляйте вирусные базы,и выполнять регулярное комплексное сканирование,Укрепить возможности обнаружения и удаления вирусов на сервере;
• Укрепить систему ежедневного контроля безопасности,Регулярно проверяйте конфигурацию системы, системлазейки, журналы безопасности и реализацию политики безопасности.,Своевременно ремонтируйте и устанавливайте исправления,Нормализовать работу по информационной безопасности.

8. Сервер использует слабые пароли, что приводит к заражению майнинговыми троянами.

(1) Обзор мероприятия

когда-нибудь,Сервер крупной угледобывающей группы был заражен вирусом шахтерского червя,Отправьте большое количество пакетов заражения на другие порты серверов 445 и 6379 в том же сегменте.,сервер, его собственная загрузка ЦП высока,Машина зависает,Серьезно влияет на использование нормального бизнеса。Сотрудники службы безопасности выехали на угледобывающее предприятие для проведения проверки на месте.службы экстренного реагирования。

Эксперты по безопасности обнаружили, что зараженный сервер отправлял большое количество пакетов данных об атаке во внутренний сегмент сети и постоянно подключался к внешнему адресу майнинговой машины. После завершения процесса он автоматически перезагружался. После удаления соответствующих вирусных файлов они автоматически перезапускались. быть автоматически сгенерирован и существовал демон-процесс. Собрав системные журналы зараженного сервера и получив время приземления файла майнингового вируса, анализ показал, что злоумышленник использовал общий слабый пароль 123.com для проведения грубой атаки на сервер, успешно взломал его и жестоко взломал. служба RDP сервера через определенный сервер. Инструмент автоматически отравляет сервер, вызывая заражение сервера вирусом-червем для майнинга.

(2) Рекомендации по защите

• Очистить вирусные процессы от зараженного Хозяина,Удалить связанные вирусные файлы,Остановить вредоносные службы;
• Повышайте сложность сервисных паролей на активах, избегайте использования слабых паролей и используйте очень сложные пароли, содержащие сочетание прописных и строчных букв, цифр, специальных символов и т. д.;
• Эффективно усилить политику контроля доступа,Уточнение детализации политики,Строго ограничивайте доступ между различными областями сети и серверами по регионам и предприятиям.,Используйте механизм белого списка, чтобы разрешить открытие только определенных портов, необходимых для бизнеса.；
• развернуть промышленностьБезопасность хостазащитасистема,Применяет технологию управления и контроля белых списков, основанную на интеллектуальном сопоставлении, технологии управления и контроля мобильных USB-накопителей на основе идентификаторов, а также технологиях перехвата входа, перехвата операций и перехвата распространения вирусов контрольной точки.,Предотвращение работы вредоносных программ и несанкционированного доступа к периферийным устройствам,Это обеспечивает комплексное централизованное управление промышленными активами и рисками безопасности.,Реализуйте защиту безопасности промышленного Хозяина/сервера.

9. Платформа обслуживания приложений использует слабые пароли, что приводит к заражению майнинговыми троянами.

(1) Обзор мероприятия

Однажды служба безопасности получила экстренный запрос от государственного ведомства. Ее оборудование безопасности обнаружило тревогу внешнего подключения от майнингового трояна. Несколько внутренних серверов были заражены майнинговыми троянами, и их необходимо было исследовать, проанализировать и отследить источник.

После того, как сотрудники службы безопасности прибыли на место происшествия, они проверили журналы сигналов тревоги оборудования безопасности, журналы хостов жертв и проанализировали образцы троянов. Они обнаружили, что несколько серверов веб-приложений во внутренней сети открыли сервисный порт 22 SSH для внешнего мира и использовали один и тот же слабый порт. пароль. Несколько серверов-жертв. Все они оснащены сценариями перебора SSH-сканирования и троянскими программами для майнинга и настроены на автоматический запуск при загрузке.

После окончательного исследования и анализа было установлено, что злоумышленник сначала провел обнаружение портов на платформе службы приложений веб-сайта и обнаружил, что 22-портовая служба SSH открыта. Он взломал слабый пароль службы SSH и успешно вошел на сервер. Затем он внедрил трояна для майнинга и сценарий нарушения сканирования SSH и добавил в элемент автозапуска сервера злоумышленник использует тот же пароль, чтобы использовать сценарий перебора сканирования SSH для перебора сервера интрасети, и внедряет трояны для майнинга, что в конечном итоге приводит к крах нескольких серверов интранета.

(2) Рекомендации по защите

• Запретить злоумышленнику серверIP、Изменить пароль пользователя скомпрометированной машины;
• системы, пользователям, связанным с приложениями, следует избегать использования слабых паролей,Следует использовать очень сложные пароли.,Попробуйте включить смешанный пароль, состоящий из прописных и строчных букв, цифр, специальных символов и т. д.,Повысьте осведомленность администраторов о безопасности,Отключить повторное использование пароля；
• Запретить серверу активную инициацию запросов на внешние соединения.,Для тех, кому необходимо передать общие данные во внешние источники,Необходимо использовать белый список,Добавьте соответствующие политики в выходной брандмауэр.,Ограничить диапазон IP активных подключений;
• Механизм белого списка позволяет открывать только определенные порты, необходимые для бизнеса, а доступ к другим портам запрещен. Только IP-адрес администратора может получить доступ к портам управления, таким как FTP, службы баз данных, удаленный рабочий стол и другие порты управления.

10. USB-диск не контролируется, что приводит к заражению хоста майнинговыми троянами.

(1) Обзор мероприятия

Однажды мы получили запрос на экстренное реагирование от подразделения транспортной отрасли. Большое количество хостов в его офисной сети было заражено вирусами, и наблюдалось большое количество случаев взаимодействия с внешними адресами. Мы надеялись исследовать, проанализировать и изучить. отследить источник скомпрометированных хостов в офисной сети.

После того, как сотрудники службы экстренной помощи прибыли на место происшествия, они провели анализ и вынесли решение на основе сигналов тревоги и журналов Sky Eye и подтвердили, что масштаб повреждения составил 20 хостов в мультимедийном классе. Сотрудники службы экстренной помощи проанализировали образцы вируса и подтвердили, что это новый вариант WannaMine 4.0. Они также подтвердили, что уникальной характеристикой времени заражения вирусом было время, когда вирус создавал значение ключа LastBackup в реестре, и проследили, что это произошло. Первым зараженным вирусом был учитель Машина x.x.x.18. Из-за периода заражения скомпрометированный хост не может получить доступ к Интернету. Сегмент сети, в котором находится скомпрометированный хост, является независимым сегментом сети. Это может исключить возможность того, что хост сам загружает вредоносные файлы в сеть или распространяет инфекцию по локальной сети. Для подтверждения этого анализируются следы использования системы учительского компьютера x.x.x.18. Источником вируса на главном компьютере является USB-накопитель. Персонал службы экстренной помощи провел проверку и анализ операционной среды системы на скомпрометированных хостах и ​​обнаружил, что все скомпрометированные хосты представляли собой системы Windows XP и на них практически не было установленных исправлений, связанных с уязвимостями, или антивирусного программного обеспечения.

Сотрудники службы экстренной помощи проанализировали и оценили результаты расследования и подтвердили, что этот инцидент безопасности был вызван использованием устройством флэш-накопителя USB с вирусом «Троянский конь» на компьютере учителя в мультимедийном классе, что привело к заражению хоста вирусом майнинга Monero ( WannaMiner) и эксплуатация уязвимости ms17-010 в конечном итоге привели к краху 20 хостов.

(2) Рекомендации по защите

• Рекомендуется развернуть программное обеспечение для защиты от вирусов, чтобы просканировать и уничтожить мобильное устройство хранения данных, а затем выполнить другие операции после подтверждения отсутствия вируса;
• Неделовые потребности,Запретите несанкционированный доступ мобильных устройств хранения данных Хозяин,Необходимо использовать белый список Разрешить доступ только к доверенным съемным устройствам хранения данных；
• Укрепить систему ежедневного контроля безопасности,Регулярно проверяйте конфигурацию системы, системлазейки, журналы безопасности и реализацию политики безопасности.,Своевременно ремонтируйте и устанавливайте исправления,Нормализовать работу по информационной безопасности;
• Запретить серверу активную инициацию запросов на внешние соединения.,Для тех, кому необходимо передать общие данные во внешние источники,Необходимо использовать белый список,Добавьте соответствующие политики в выходной брандмауэр.,Ограничьте диапазон IP-адресов активного подключения. Оригинальная ссылка: https://www.freebuf.com/defense/375180.html.