背景最近各种安全事件还是很火的。以前只是分批抓鸡做DDOS。现在随着虚拟货币的普及,挖矿和勒索逐渐进入大众的视野。本文根据能量、财力和人力最小化的原则,对此类安全事件的一些恶意行为进行了分析,并提出了相应的防范措施。安全标准是个好东西,但是现在客户的安全意识不是特别高,实际执行起来难度太大。而且,按照ISO27XXXX标准,X级保证,GD*R,或GB*X规定,需要人力物力。财力是个不小的挑战,毕竟要花钱。从业务部门的角度来看,安全只是找麻烦。如果安全标准执行了,考核通过了,那么就会发生安全事件,一时被抓疯了。首当其冲的弱密码问题还是先解决最严重的问题:弱密码。强密码和弱密码的区别没有严格明确的定义。一般认为,容易被别人猜到(他们可能很了解你)或容易被破解工具破解的密码都可以定义为弱密码。目前大多数蠕虫类病毒都有暴力破解模块。暴力破解模块针对的常见服务如下:SSHRDPMSSQLMysqlRedisSMBSMTPHTTP这里定义的弱密码不是一些类似123456的传统弱密码,主要举例如下:常见的A类弱密码如:123456781111111admin1234abcd8888888复杂的弱密码密码,如:1qaz@WSXAa12345678P@sswordC用户名与普通字符串的关系,如:zhangsan123zhangsan888zhangsan@qqzhangsan520写个脚本,几十行代码或者在github上找个弱密码生成器大量的C类弱密码可以产生:解决建议:统一整改一批弱密码,同时设置强密码策略,密码字段检测针对不同用户设置不运行相似C类密码的设置。统一或常规密码问题去年下半年,出现了一种名为GlobeImposter3.0的流行勒索病毒。该勒索软件往往会导致内网多台主机同时被勒索。加密后的文件后缀改为.动物名+4444,如:.Horse4444是不是感觉12生肖都在一起了?本产品使用mimikatz.exe扫描本机所有账号机密码,将结果保存在result.txt中,加入到字典中进行暴力破解。然后用nasp.exe扫描哪些机器开放了3389端口。然后远程登录桌面爆破工具NLBrute.exe会根据扫描结果依次爆破局域网内的机器。获取机器账号后,成功登录,重复上述步骤再次传播。鉴于很多内网主机的密码都是一样的,估计分分钟内网就会被关闭。比如有些运维管理员喜欢把密码和IP关联起来。比如192.168.1.101的密码设置为Root@101,包括8个字符,大小写数字,特殊字符,但往往很危险。如果一台主机被攻破,内网的所有主机可能就完蛋了。解决建议:强烈建议开源跳板机JumpServer可以自行二次开发,整理内网主机访问关系图,设置内网主机访问控制策略。比较有代表性的病毒Conficker和Wannacry系列,都比较活跃,感染面积也比较大。前者主要使用MS08-067,后者主要使用MS17-010在网络内外传播。MS17-010涉及范围比较广,被广泛用于挖矿病毒和勒索病毒的横向传播。它收获了很多。这真的很猛。解决方案建议:该方案打补丁非常简单。如果可能的话,你可以搭建一个WSUS来进行补丁分发,或者自己写一个小脚本来检测主机端的补丁安装情况。针对部分服务器不方便重启的情况,建议做ACL策略或者端口阻塞。热点安全漏洞的利用客户普遍认为内网比较安全,连接外网的服务一般也比较关注。目前很多类蠕虫挖矿病毒与时俱进,往往有很多利用web漏洞的模块。比如360最近抓取的Psminer,基本涵盖了Weblogic类、Redis越权访问、ES类、ThinkPHP命令执行类、Spring命令执行类。除非有一些常见的TomcatManager弱口令,S2命令执行系列,Wordpress命令执行漏洞都是一些可以用来传播的漏洞。这些漏洞的特点是简单高效。无需提升权限,只需一个curl或wget即可从Internet下载恶意脚本并开始执行操作。Windows调用Powershell开始执行下载任务。无论是在内网作为突破口,还是在内网横向传播,这类高级别漏洞都能发挥更好的作用。可能很多刚入门的脚本小子练习了一些EXP批量扫描,得到一个shell后,rm-rf/*,后面怎么跟领导交代,估计不用上班了明天。解决建议:这类安全漏洞比较危险,可能是导致内网瘫痪的入口。定期跟踪热点安全事件,在github上收集各种POC进行安全测试并验证,并参考自动化测试工具集自行评估内部安全风险。ummmmm...还涉及到谁来修的问题?当然,谁开发谁负责,开发不修复怎么办,回归测试谁来做等问题参考如下:安全意识与安全管理安全意识是老话不管你怎么说,感觉就像在说你自己。该点的钓鱼邮件还是重点。我说过很多次不要安装来源不明的软件。我仍然以相同的方式安装它。不要打开来源不明的附件。我出于好奇看着它。弱密码必须从123456改成12345678。***发现电脑卡在CPU占用90%,内存占用90%以上。如果被勒索挖矿,说明安全工作没有做好。每次遇到这种情况,我都不知道怎么玩。除了在本地安装EDR,我不知道怎么玩。所以这个时候,有人背锅就显得很重要了。根据XXXX标准,结合自己的实际场景,可以实施一些简单的安全管理制度。那种制度文件,批准人:XXX领导。就是这样。解决建议:定期抽查一些PC终端保护软件,多培训多洗脑,多系统。根据某些法律要求,安全操作需要将日志保留至少半年。搭建一个简单的日志中心是很有必要的。买第三方厂商还是搞个开源的,看领导给不给预算。还是推荐开源的日志中心。毕竟可以根据自己的业务场景进行定制,推荐比较完整的ELK包。现在新增了一个FileBeat,它是一个轻量级的日志收集和处理工具(Agent)。Filebeat占用资源少,适合收集各种服务器上的日志,传输到Logstash。官方也推荐这个工具。Elasticsearch是一个开源的分布式搜索引擎,提供收集、分析和存储数据三种功能。其特点是:分布式、零配置、自动发现、索引自动分片、索引复制机制、restful风格接口、多数据源、自动搜索负载等。Logstash主要是一个收集、分析、过滤日志的工具,支持大量的数据获取方式。一般的工作方式是c/s架构,客户端安装在需要收集日志的主机上,服务端负责对接收到的各个节点的日志进行过滤修改,发送给elasticsearch。Kibana也是一个开源和免费的工具。Kibana可以为Logstash和ElasticSearch提供一个日志分析友好的Web界面,可以帮助汇总、分析和搜索重要的数据日志。Filebeat是Beats的一部分。Beats目前包括四个工具:Packetbeat(收集网络流量数据,可追溯性可能有用)Topbeat(收集系统、进程和文件系统级别的CPU和内存使用数据,检测挖掘工件)Filebeat(收集文件数据)Winlogbeat(收集Windows事件日志数据,检测暴力破解必备!!!)主要目的是通过日志发现一些异常点。安全事件发生后,便于溯源分析。根据对业务情况的熟悉程度,可以自己写一些告警规则。对于很多常规的暴力破解和异常登录都能实现精准报警提醒。综上所述,企业安全还是要靠资金投入。只有领导者愿意投资。如果预算充足,我们可以直接购买一些安全厂商的全家桶FW+IPS+IDS+WAF+SIEM+EDR+DLP+Scaner+Codereviewer+APTdetecter,剩下的就是一些操作了。毕竟,工作的乐趣是用真金白银换来的。***投诉使用“DriveLife”升级通道的流行木马。查杀不易,常变。已经被折磨得吐血了。请放手吧。
