[商业信息]弱口令暴破成黑客惯用攻击伎俩 火绒企业版切断入侵通道

【/h/】最近天鹅绒安全团队发现，密码弱、密码重用率高、密码泄露等。已经成为企业频繁遭遇远程攻击的重要原因。黑客通过破解和非法购买登录密码进入企业网络，同时通过黑客工具渗透和传播勒索软件，加密重要数据和文件，索要赎金。这一现象与我们去年发布的《2019年勒索回顾:弱密码rdp渗透越来越差》报告的结论是一致的。天鹅绒工程师提醒广大企业用户时刻保持高度的安全警惕，加强网络防御措施。

【/h/】就在最近，一家it公司向天鹅绒求助，声称有几台服务器受到了ransomware的攻击，导致文件被加密。经过远程查看，tinder工程师发现，由于密码较弱，密码重用率较高，企业服务器经常容易被入侵和植入ransomware。

【/h/】据天鹅绒工程师追踪分析，该企业在4月18日前被弱密码远程爆炸入侵。4月26日之后，企业在部分服务器上部署了天鹅绒企业版，并在其中一台服务器上扫描了病毒(黑客渗透工具)。但并没有引起企业管理员更多的关注，在[/s2/]清除病毒后，未能及时采取其他安全措施，包括加强密码强度，在全网范围内查杀病毒，开放天鹅绒的“终端动态认证”等相关防护功能。这也为企业遭遇后续攻击带来了潜在风险。

【/h/】5月17日，一名黑客利用之前破解获得的密码再次成功登录服务器，并卸载火绒继续渗透攻击。由于该企业终端的密码重用率较高，黑客可以通过该服务器轻松闯入其他没有天鹅绒部署的服务器，并植入ransomware对其中的文件进行加密。

图:黑客两次远程入侵

【/h/】根据现场发现的ransomware信息，确认为“火卫一”ransomware。目前，无论是ransomware还是被发现的黑客工具，都可以被tinder截获并杀死，但是ransomware加密的文件没有密钥是无法解密的。

【/h/】然后，天鹅绒工程师指示企业管理员在全网查杀病毒，清除可疑程序，及时启动“远程登录保护”和“终端动态认证”功能。“远程登录保护”功能可以直接禁止白名单外不熟悉的终端远程连接，“终端动态认证”功能可以防止黑客通过二次认证，以破解、撞入库的方式恶意获取远程登录的用户密码。到目前为止，企业还没有被远程入侵和植入病毒。

【/h/】对此，天鹅绒工程师建议企业用户，尤其是重要服务器，一定要设置15位以上、随机组合的高强度密码，不要重复使用，定期更换。此外，可以在整个网络中部署可靠的安全软件，以实现相关的远程保护功能。一旦经理发现可疑情况，必须及时联系安全供应商进行专业调查，以避免后续攻击。

自2018年初推出以来，已有数万家政府和企业单位部署试用。该产品安装简单，操作简单，运行稳定，没有出现严重的产品故障，完全满足各单位的网络安全需求。任何政府和企业单位都可以通过天鹅绒官网申请“天鹅绒企业版”免费试用3个月。