【/h/】最近天鹅绒安全团队发现,密码弱、密码重用率高、密码泄露等。已经成为企业频繁遭遇远程攻击的重要原因。黑客通过破解和非法购买登录密码进入企业网络,同时通过黑客工具渗透和传播勒索软件,加密重要数据和文件,索要赎金。这一现象与我们去年发布的《2019年勒索回顾:弱密码rdp渗透越来越差》报告的结论是一致的。天鹅绒工程师提醒广大企业用户时刻保持高度的安全警惕,加强网络防御措施。

[商业信息]弱口令暴破成黑客惯用攻击伎俩 火绒企业版切断入侵通道

【/h/】就在最近,一家it公司向天鹅绒求助,声称有几台服务器受到了ransomware的攻击,导致文件被加密。经过远程查看,tinder工程师发现,由于密码较弱,密码重用率较高,企业服务器经常容易被入侵和植入ransomware。

【/h/】据天鹅绒工程师追踪分析,该企业在4月18日前被弱密码远程爆炸入侵。4月26日之后,企业在部分服务器上部署了天鹅绒企业版,并在其中一台服务器上扫描了病毒(黑客渗透工具)。但并没有引起企业管理员更多的关注,[/s2/]清除病毒后,未能及时采取其他安全措施,包括加强密码强度,在全网范围内查杀病毒,开放天鹅绒的“终端动态认证”等相关防护功能。这也为企业遭遇后续攻击带来了潜在风险。

[商业信息]弱口令暴破成黑客惯用攻击伎俩 火绒企业版切断入侵通道

【/h/】5月17日,一名黑客利用之前破解获得的密码再次成功登录服务器,并卸载火绒继续渗透攻击。由于该企业终端的密码重用率较高,黑客可以通过该服务器轻松闯入其他没有天鹅绒部署的服务器,并植入ransomware对其中的文件进行加密。

图:黑客两次远程入侵

【/h/】根据现场发现的ransomware信息,确认为“火卫一”ransomware。目前,无论是ransomware还是被发现的黑客工具,都可以被tinder截获并杀死,但是ransomware加密的文件没有密钥是无法解密的。

【/h/】然后,天鹅绒工程师指示企业管理员在全网查杀病毒,清除可疑程序,及时启动“远程登录保护”和“终端动态认证”功能。“远程登录保护”功能可以直接禁止白名单外不熟悉的终端远程连接,“终端动态认证”功能可以防止黑客通过二次认证,以破解、撞入库的方式恶意获取远程登录的用户密码。到目前为止,企业还没有被远程入侵和植入病毒。

[商业信息]弱口令暴破成黑客惯用攻击伎俩 火绒企业版切断入侵通道

【/h/】对此,天鹅绒工程师建议企业用户,尤其是重要服务器,一定要设置15位以上、随机组合的高强度密码,不要重复使用,定期更换。此外,可以在整个网络中部署可靠的安全软件,以实现相关的远程保护功能。一旦经理发现可疑情况,必须及时联系安全供应商进行专业调查,以避免后续攻击。

自2018年初推出以来,已有数万家政府和企业单位部署试用。该产品安装简单,操作简单,运行稳定,没有出现严重的产品故障,完全满足各单位的网络安全需求。任何政府和企业单位都可以通过天鹅绒官网申请“天鹅绒企业版”免费试用3个月。

标题:[商业信息]弱口令暴破成黑客惯用攻击伎俩 火绒企业版切断入侵通道

地址:http://www.baoduan3.com.cn/sy/2239.html