小白帽从病毒视角聊企业安全建设

背景

最近各类安全事件还是很流行的，以前只是批量抓鸡做DDOS现在伴随着虚拟货币的流行挖矿勒索逐步进入了大众的视野，仅以此文按照精力财力人力最小化的原则分析一些恶意行为与相对应的此类安全事件一些防范措施。

安全标准是个好东西奈何现在客户安全意识并没有特别高，所以在具体落实实践的过程中难度太大，况且按照ISO27XXXX标准、等级X保、GD*R、或者GB*X的条例来说人力物力财力都是一个不小的挑战，毕竟那都是要花钱的。在业务部门看来安全就是来找麻烦的，最后标准落实了测评通过了最后又出了安全事件又会被抓住一阵狂怼。

弱口令问题

首当其冲的还是先解决最严重的问题：弱口令。强弱密码的区分没有一个严格明确的定义，通常认为容易被别人(他们有可能对你很了解)猜测到或容易被破解工具破解的口令均可以定义为弱密码。

目前大多数worm类病毒都具备暴力破解模块针对的常见服务如下：

SSH RDP MSSQL Mysql Redis SMB SMTP HTTP 

此处定义弱口令非一些传统的类似与123456这类的弱口令主要举例如下：

A类常见的弱口令如：

12345678  1111111  admin  1234abcd   8888888 

B类符合密码复杂度的弱口令如：

1qaz@WSX  Aa12345678  P@ssword 

C类用户名关系配合常见字符串类的如：

zhangsan123 zhangsan888 zhangsan@qq zhangsan520 

顺手写一个脚本短短几十行的代码量而已或者上github找一个弱口令生成器都可以生成大量C类弱口令：

解决建议：

统一整改一批弱口令同时设置一个强的面密码策略，设置一个若密码字段的检测针对不同的用户不运行类似C类密码的设置。

统一或规律密码问题

去年下半年的时候出现了一个比较流行的勒索病毒叫GlobeImposter3.0，该勒索往往可以导致内网很多主机同时被勒索。加密文件的后缀改成.动物名称+4444的样子，如：.Horse4444 12生肖凑齐的感觉有没有。

这货利用mimikatz.exe扫描本机的所有账户机器密码，将结果保存到result.txt里面加入到暴力破解的字典里面。之后利用nasp.exe扫描哪些机器开放3389端口。然后远程登录桌面爆破工具NLBrute.exe会根据扫描结果，依次爆破局域网的机器。拿到机器账号后，成功登陆进而重复该步骤，再次进行传播。

针对很多内网主机密码都是一致的情况，估计分分钟就内网就歇菜了。比如还有一些运维管理员喜欢把密码和IP关联在一起。比如192.168.1.101 密码就设置为Root@101随便一下8个字符、大小写数字字母、特殊字符都具备了却往往很危险。攻破一台主机，可能内网所有主机都玩完了。

解决建议：

强烈推荐开源的跳板机JumpServer可以自己做二次开发，梳理内网主机的访问关系图设置内网主机的访问控制策略

系统补丁

每次谈到windows系统补丁就觉得有必要说一下Windows二个比较有代表性病毒Conficker与Wannacry系列二者都属于比较活跃且感染面相对较大的。

前者主要利用了MS08-067后者主要利用MS17-010进行内外网的扩散，MS17-010涉及面相对较广广泛被挖矿勒索病毒用于横向传播，收获颇丰这个是真的猛。

解决建议：

这个解决办法是真的简单就是打补丁，有条件的可以自己搭建一个WSUS用于补丁的分发、或者自己写一个小脚本用于检测主机端的补丁安装情况。针对与一些服务器不方便重启的情况建议可以做好ACL策略或者端口封禁。

热点安全漏洞利用

客户普遍都认为内网是相对安全的，连接外网的服务一般也会重点关注。目前较多的worm类挖矿病毒与时俱进常常有很多Web漏洞的利用模块。

如最近360捕获的Psminer 基本上覆盖了Weblogic类、Redis未授权访问、ES类、ThinkPHP命令执行类、Spring命令执行类。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!