奇安信：2020工業互聯網安全發展與實踐分析報告（54頁）.pdf

1、2020 年 3 月，某大型化工集團發現多臺服務器和主機文件被加密，遭受勒索病毒攻擊，緊急向奇安信工業安全應急響應中心求助，希望盡快排查并溯源。工業安全應急響應中心專家通過對勒索信和加密文件后綴分析，確認勒索病毒為phobos。針對服務器的基本信息，進程，端口，網絡連接，服務等進行排查，并提取 3 臺服務器日志，分析發現，內網一臺主機對外映射了遠程桌面，且密碼為弱口令，被暴力破解，登陸成功，然后利用此主機對內網其他服務器和主機進行遠程桌面弱口令爆破，對爆破成功的服務器和主機植入勒索病毒，將數據和文件加密勒索。通過對現場情況進行分析和對事件進行推斷，本次事件主要是由于客戶服務器配置不當，直接對外

2、映射了遠程桌面端口，進而攻擊者有針對性的對遠程登錄爆破、人工投毒執行的勒索攻擊。2020 年 10 月，奇安信工業安全應急響應團隊接到某大型汽車制造企業的應急響應請求，某重要服務器感染勒索病毒，導致業務系統無法正常運行。工業安全應急響應專家抵達現場后，通過根據受害主機文件被加密的后綴（.C2H）及恢復數據的勒索信息提示判斷該主機感染了 GlobeImposter 勒索病毒。攻擊者對服務器 A 進行了暴力破解，并成功獲取服務器 A 控制權，進而以服務器 A 作為跳板，對位于內網中同一網段的服務器進行投毒，先利用 Kprocesshacker3 關閉殺毒軟件，然后對機器上的文件進行加密。通過本次安

3、全事件，該汽車制造企業暴露了諸多安全隱患，包括未定期開展安全評估工作，導致內部服務器存在嚴重高危漏洞；安全域劃分不明確，較為混亂；安全意識仍需加強等。2020 年 6 月，工業安全應急響應團隊接到某大型食品制造企業遭受挖礦蠕蟲病毒攻擊事件的應急請求，應急專家立即趕往現場進行排查和溯源工作。應急專家發現該食品制造企業內網大量服務器出現內存、CPU 等資源被惡意占用的現象，已經導致部分服務器業務中斷，無法正常運行。工業安全應急響應專家通過對內網服務器、終端進程、日志等多方面進行分析，判定客戶內網服務器所感染病毒為“黑球”挖礦蠕蟲。該木馬會在局域網內進行蠕蟲傳播，竊取服務器密碼進行橫向攻擊，并且會創

4、建大量服務耗盡服務器資源。2020 年 8 月，某大型煤礦集團一服務器發現感染挖礦蠕蟲病毒，往同段其它服務器 445以及 6379 端口發送大量感染數據包，服務器自身 CPU 利用率較高，機器卡頓，嚴重影響正常業務的使用。奇安信安全服務人員緊急向該煤礦集團進行現場應急響應服務。安全專家發現受感染的服務器向內部某網段發送大量攻擊數據包，并不斷鏈接外部礦機地址，結束進程后會自動重啟，相關病毒文件刪除后會自動生成，存在守護進程。采集受感染服務器的系統日志并獲取挖礦病毒文件的落地時間分析發現，攻擊者使用通用弱密碼 對服務器發起爆破行為并爆破成功，通過某臺服務器進行暴力破解服務器 RDP 服務進行工具自動化投毒，導致服務器被挖礦蠕蟲病毒感染。