1、t;strong七、恶意程序分析在上半年医疗卫生行业安全事件中,最常见的恶意程序是勒索病毒70.2%、挖矿木马10.6%以及一般木马8.5%。其中勒索病毒多以GlobeImposter勒索病毒及其变种病毒较多。八、漏洞利用分析在上半年的医疗卫生行业应急响应处理漏洞利用攻击事件中,弱口令占比59.3%、永恒之蓝占比24.0%、服务器漏洞占比9.3%。九、医疗行业应急典型案例案例一:某市医药公司OA系统失陷,造成数据泄露事件概述3月11日,奇安信安服团队接到某市医药公司应急请求,公司DMZ服务器区出口地址存在外连行为。应急人员排查分析,发现对外攻击的IP为该公司内网OA系统的出口地址,因OA系统供
2、应商要求对系统进行远程维护,特将OA服务器的3389端口映射到出口地址的3389端口。通过对IPS、负载均衡、防火墙以及服务器系统日志进行分析排查,发现内网OA系统存在多个地区和国家的IP通过3389端口远程登录记录和木马文件。对OA服务器系统部署文件进行排查,发现此服务器存在任意文件写入漏洞,并且发现两个Webshell后门。经分析研判最终确定,攻击者通过内网OA系统映射在公网的3389端口进行远程登录,并上传Webshell后门1,用于执行系统命令;利用OA系统任意文件写入漏洞,上传Webshell后门2,用于上传任意文件,写入恶意木马文件,对外网发起异常连接,进行数据传输。防护建议1)加
3、强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化;2)加强设备权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等;3)建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;4)禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;5)建议安装相应的防病毒软件,及时对病毒库
4、进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力。案例二:某省三甲医院感染Crysis勒索病毒事件事件概述2月,奇安信安服团队接到某省三甲医院应急请求,多台服务器文件被勒索病毒加密,业务无法正常运行,请求溯源和应急处置。应急人员对该医院被感染的服务器进行排查分析,判断医院主机服务器感染了Crysis勒索病毒,且发现该医院多台服务器防病毒软件授权已到期。进一步排查发现服务器A对外网开放了远程桌面服务,同时在内网多台主机和服务器中发现了RDP爆破痕迹,且除服务器A外,内网中其他多台主机和服务器RDP服务登录密码均为弱口令。经排查研判后最终确定,攻击者利用服务器A远程桌面服务暴露在外网和弱
5、口令的弱点进行了暴力破解,并成功获取服务器A控制权,进而以服务器A作为跳板,对位于内网中的服务器B进行RDP弱口令爆破,爆破成功后,利用服务器B对内网中其他主机进行爆破并手动投放Crysis勒索病毒横向扩散。防护建议1)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;2)建议安装相应的防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力;3)加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作
6、常态化;4)建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口(如3389、445、139、135等)、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;5)建立安全灾备预案,一旦核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被攻击,影响业务连续性。案例三:某市华侨医院网站存在任意文件上传漏洞,导致多台主机沦陷事件概述3月23日,奇安信安服团队接到某市华侨医院应急请求,医院服务器被入侵。应急响应人员通过网站的安全性检测以及系统日志分析发现,网站http:/xxx:999存在任意文
7、件上传漏洞,同时发现内网多台主机存在MS17-010漏洞,并且存在被暴力破解的记录。最终通过对系统的检查和分析确定,攻击者首先对网站http:/xxx:999进行访问,在该网站中发现了任意文件上传漏洞,并对其进行利用,通过上传ASP类型的Webshell获取了服务器的管理员权限,进而以该沦陷服务器为跳板机,利用内网多台主机中存在的MS17-010漏洞、RDP弱口令等对其进行攻击,导致多台内网终端沦陷。防护建议1)系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;2)对系统文件上传功能,采用白名单
8、上传文件,不在白名单内的一律禁止上传,上传目录权限遵循最小权限原则;3)加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等;4)建议对内网服务器及主机开展安全大检查,检查的范围包括但不限于系统漏洞检测(如MS17-010漏洞、任意文件上传漏洞等)、后门检测,并及时进行漏洞修复、补丁安装、后门清理等工作;5)加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。原文地址:2020年上半年网络安全应急响应分析报告全文本文来源网络整理,不代表本站观点。分享本文章目的在于学习,如有侵权,请邮件告知删除,本站将在
9、收到删除告知信息的情况下,24小时内删除,并给予道歉,谢谢支持!span style=font-family: 微软雅黑, "Microsoft YaHei" WKNSJY Our quantitative analysis shows that profits are indeed going up. 我们的定量分析显示利润的确在增长。 We get to know how fast we are from the speed gauge. 我们可以从车的速度仪表盘中看出我们的速度是多少。 The will keep to their promise and never break it. 他们会履行诺言而不会破坏它。 The new born baby looks innocent