通知:勒索病毒爆发,上海 深圳 北京 广州 重庆 武汉 长沙 杭州 内蒙 成都等提供上门救援服务,电话:13222099987

中国数据恢复协会 权威数据恢复与存储安全研发中心 [ 咨询免费 检测免费 ] 24小时电话: 13813824669 技术部:025-83608636(白天) 查询电话:18913825606(白天) RAID专家:13813824669

站内搜索

南京西数数据恢复中心

  • 2272018229
  • 025-83608636
  • 18651607829
当前位置:首页 > 西数新闻 > IT技术文章 IT技术文章
勒索病毒重点转向服务器 以Windows服务器为主

从2017年5月爆发的 WannCry 开始,勒索病毒真正以嚣张之势走向了大众视野。与我们印象中偏向于勒索个人用户不同的是,从去年下半年开始,勒索病毒在国内的攻击重点已经开始转向了各类服务器,尤其以Windows服务器为甚。近日,360互联网安全中心发布了《Windows 服务器下勒索木马的防护与对抗》报告,详细分析了今年1月至4月的被勒索病毒攻击的服务器情况,包括行业分布、攻击原因及攻击手法等各个方面,旨在帮助服务器管理人员更好地防护与对抗勒索病毒

据报告统计的受攻击目标来看,“弱口令”成为最容易受勒索病毒攻击的“靶子”,占比超过一半。使用弱口令的服务器,远程桌面服务一旦被爆破,黑客就可以远程登录用户的计算机投毒。从报告的分析情况看,很多远程爆破并不是短时间完成的,而是持续一段时间的攻击。用户在被攻击的过程中并未察觉异常,直至机器被拿下并投毒,再去查看日志才发现问题。

201804261400496530[1].jpg

2018427183918385[1].png

201804261400494811[1].jpg

而排第二位的,是共享文件夹被加密的情况,这一类情况相对比较特殊:看似是中了勒索病毒,其实是“错觉”。许多用户反应,局域网中共享的文件突然被加密,怀疑是自己中了勒索病毒,但计算机内其他文件是完好的。这种情况一般是由于局域网中其它机器感染了勒索病毒勒索病毒通过搜索局域网中共享文件夹,找到并加密了这些文件,使局域网中的其他用户产生“自己也被攻击”的错觉,其实本身并未中木马。

此外,软件漏洞和系统漏洞最近也常被黑客利用,如WebLogic的反序列化漏洞,Apache Struts2的多个任意代码执行漏洞都被用做过远程投毒,对于没有打补丁的机器来说,这些也都是极其危险的。

根据报告对用户端被攻击情况的分析可以看出,攻击者使用工具主要有四大类:

第一类,扫描爆破工具,此类工具配合“密码字典”对主机实施第一波嗅探打击,使用弱口令的机器很容易在这波扫描中被拿下。

第二类是各类密码嗅探工具,在完成第一波打击之后,对局域网进行渗透时使用的。这也是经常出现一个集群,多台主机同时中招的原因。

第三类常用工具是进程管理类工具。攻击者一般在投毒时,通过这些工具结束安全防护软件进程和一些备份程序,数据库服务等,方便木马的投放与效果发挥。针对此类工具,我们也做了相应防护。

第四类工具是长期驻留工具,常见的有远控和后门程序,通过这类工具实现多主机的长期控制,一般会在渗透阶段使用。

通过这些经常被使用到的工具也可以看出,存在弱口令和严重系统漏洞或软件漏洞的机器,最容易成为攻击目标!攻击者通过这些工具的组合使用,对安全防护薄弱的这类服务器实施打击,并进行渗透和长期驻留,这对于服务器集群来说也是比较致命的,一台存在漏洞的主机,就可能造成整个数据库集群的沦陷。

对此,安全专家提醒广大用户,尤其是服务器管理者,尽量避免使用弱口令,定期为系统升级、打补丁,还可以安装EAM安全防护软件,从根源上防御病毒登录控制服务器。

上一篇:虚拟启动(已经支持LM系列)是MRT固件实验室最新推出的功能
下一篇:7Z文件的数据结构
Copyright(C)2014 南京西数科技有限公司 wdsos.com 备案号:苏ICP备06012485号
地址:江苏省南京市玄武区珠江路435号华海大厦6楼606A室 技术部:025-83608636(8:30-18:30)
进度查询:025-83608636 24小时恢复热线:18913825606 联系人:陈兵兵
整站策划由 中数安盟 提供