皇派平台

某政务网服务器持续遭受攻击

事件背景

某政务网客户内网部署了一套网络流量分析系统,对内网核心交换流量进行全方位监测分析。某日对内网状态进行日常巡检时,在网络流量分析系统的安全事件告警>被攻击分析中,我们发现在大部分都是内网被攻击ip地址中出现一个排名比较靠前的外网地址:190.102.60.114,且在安全事件告警列表中搜索此ip,发现其始终在对内网地址10.0.1.25这台设备进行端口扫描行为,这种异常现象和常见的网络攻击行为初期阶段非常相似,即攻击者首先对目标设备进行端口扫描,以获取开放端口,然后尝试密码猜解或暴力破解等方式进行登录获取管理员权限,以达到攻破目的主机的目的。对此我们立即展开详细分析。


15893375884003.png       


15893376232102.png


、攻击嫌疑ip情况

通过在开放的威胁情报分析平台上查询此ip信息,结果显示此ip地理位置归属为巴拿马地区,且多个威胁情报分析平台都对此ip通报了“永恒之蓝”、“勒索病毒”以及端口扫描等威胁特征,表明其属于高危攻击源。

15893376722990.png    


   image.png


使用浏览器对攻击ip 190.102.60.114的443端口进行访问,显示为思科的SSL VPN系统登录页面,那么就很有可能是这台VPN设备已经被黑客攻破并装载木马病毒,使其成为肉鸡不断对公网上的其他地址发起攻击行为。

image.png


ssh 22号端口也是开放的,如果这里也是默认用户名和弱密码的话则增加了其被攻破的可能性。

image.png


三、客户基本网络拓扑情况

image.png


、被入侵后可能造成的威胁

    1.数据可能被黑客加密然后向客户进行勒索;且重要数据如果被恶意删除后果不堪设想;

    2.被黑客当作肉鸡去攻击外网的服务器; 

    3.被当作肉鸡入侵内网的其他服务器和主机,造成一系列的横向威胁;

    4.在上面挖矿,消耗CPU、GPU、内存和网络带宽。


五、事件分析

    1.分析过程

登录网络流量分析系统,查看安全检测数据,并下探此可疑ip的目标攻击用户,发现在最近一个月周期内,此可疑ip针对内网地址10.0.1.25产生了5000多次告警事件:

image.png

下探查看攻击类型以及告警信息:

image.png

image.png

在安全事件告警信息列表中查询此外网地址:

image.png

由此可见,190.102.60.114这个ip在持续的对10.0.1.25这台内网主机进行攻击扫描,我们继续通过查看攻击事件原始数据包来还原攻击详情:

image.png

查看应用层报文,摘要中显示TDS7 login字样,可能是在进行非法登录操作,查看报文详细内容:

image.png

对比其他告警事件数据包内容:

image.png      


15893378835679.png

报文分析中Username均为sa(windows server数据库默认用户名),而密码每次都是随机变化,因此可以断定攻击方不停在尝试猜解密码,意图通过暴力破解方式进行非法登录操作。


  2.事件处理

发现此异常现象后,我们第一时间告知客户进行处理,经客户方确认,222.240.228.88是他们的公网ip10.0.1.25是内网中一台安装了windows server的服务器,通过端口映射到外网1433端口。

image.png

image.png

六、溯源查看

查看攻击ip和内网被攻击ip会话记录,发现该外网ip攻击频率约每分钟一次,每条攻击会话流持续时间都在32秒左右,结合报文payload只有60字节大小来看,没有传输文件的现象,说明内网主机10.0.1.25目前还没有被攻破,但攻击仍然在持续中。


15893379193459.png      image.png

以内网主机10.0.1.25为筛选条件,查看其会话记录,发现仍然存在大量的国内外地址对其持续进行端口扫描攻击,这也间接说明此类型攻击一般都是分布式、长周期的攻击过程,随着现在客户的安全意识提高,知道强口令、登录锁定等机制的重要性,确实在很大程度上提高了黑客攻破的难度。但这毕竟是治标不治本,如果不从根本上解决这类攻击,那么主机被攻破只是时间问题。

image.png

七、此类攻击的防御方式

1、针对需要对外提供服务的server,在中间串入安防设备,如IDS,防毒墙等。

2、通过第三方防护应用来防止ssh暴力破解(denyhosts,fail2ban可以实现短时间连续多次输错密码就把IP列到黑名单,一段时间后自动移出黑名单)。

3、修改服务的默认端口,使用不常用端口。

4、定期加固系统安全防护。



皇派平台 官网

地 址:长沙市岳麓区潇湘南路368号中盈广场D栋406-407

邮政编码:410200

电 话:+86-0731-89578690

邮 箱:szxwkj@stpetersburgball.com

招聘邮箱:szxwkj@stpetersburgball.com

久发体育手机版官网_WWW.JIUFA365.COM 五大联赛下注_WWW.JY431.COM 乐鱼体育_WWW.LEYU.COM 好彩客_WWW.1055.COM BOB综合APP_WWW.BOB68.APP 永乐国际_WWW.PK1117.COM 最大体育平台_WWW.HTH.COM BG视讯_WWW.2811.COM