一直以来,弱口令不仅是最易被不法黑客利用的漏洞之一,而且还是企业网络安全的一大症结。近日,腾讯安全服务中心接到客户求助,称部署的腾讯御界高级威胁检测系统发现SSH服务器失陷感知信息,危急之下,该公司安全管理人员第一时间联络腾讯安全技术专家请求协助分析威胁来源,以防公司遭受财产经济损失。
(图:腾讯御界失陷感知信息)
征得客户同意后,腾讯安全技术专家结合御界的关键日志,对客户机器进行远程取证,最终判定这是一起针对SSH服务器弱口令爆破的攻击事件。庆幸的是,由于发现及时,技术专家迅速协助客户进行隔离与杀毒操作,有效遏制作恶团伙进一步入侵,否则后果难以预料。
(图:不法黑客利用SSH弱密码爆破成功)
可是,此次攻击事件仅仅是不法黑客发动连环作恶的“冰山一角”。基于这一线索,腾讯安全御见威胁情报中心对此次事件展开调查,竟然发现这是一起专业的网络攻击事件。该团伙对目标SSH服务器曾进行多达4千次连接尝试,最终爆破成功。得手后的攻击者首先植入SSH后门以及IRCbot后门程序,并通过SSH弱口令在内网横向传播,迫使受害机器接收远程指令安装挖矿、DDoS攻击模块,以此为下一步行动做足准备。
(图:不法黑客尝试登陆类型分布)
据腾讯安全技术专家介绍,该团伙使用的基础设施主要集中分布在俄罗斯、美国、法国、荷兰、新加坡等多个国家及地区,攻击目标同样遍布在世界各地。仅初步统计,该团伙的潜在攻击目标每天约有十万IP,截至目前已非法挖到近200个门罗币,折合人民币约12万元左右,对用户资产安全造成巨大威胁。
纵观全球网络安全环境,弱密码爆破事件在世界范围内已成几何式增长。4月15日,国内某企业遭遇一起利用弱口令对企业SQL服务器进行爆破攻击事件。腾讯安全御见威胁情报中心对整个事件展开溯源调查后发现,该作恶团伙目前已成功入侵3700余台SQL服务器,涉及到数百个中小型企业,获得了这些企业服务器的管理员权限,在后台下载运行门罗币挖矿木马。类似恶意攻击事件给个人隐私保护、企业安全生产乃至经济社会发展都可能带来新的挑战。
为避免此类不法黑客攻击事件再次发生,腾讯安全反病毒实验室负责人马劲松提醒广大企业网管务必高度重视安全防范工作,并提出三大安全防御措施:建议使用安全的密码策略和高强度密码,以防不法黑客暴力破解;同时使用密钥登陆,打开SSH实时监听本地内网IP,尽量不给服务器外网IP;此外推荐全网部署腾讯御界高级威胁检测系统,提前感知和有效抵御漏洞攻击,保护企业免受数据和财产损失。
(图:腾讯御界高级威胁检测系统)
据了解,腾讯御界高级威胁检测系统是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。凭借基于行为的防护和智能模型两大核心能力,腾讯御界可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击,全面防护企业网络系统及业务安全。