某政务网客户内网部署了一套网络流量分析系统,对内网核心交换流量进行全方位监测分析。某日对内网状态进行日常巡检时,在网络流量分析系统的安全事件告警>被攻击分析中,ag发现在大部分都是内网被攻击ip地址中出现一个排名比较靠前的外网 ,且在安全事件告警列表中搜索此ip,发现其始终在对内网地址10.0.1.25这台设备进行端口扫描行为,这种异常现象和常见的网络攻击行为初期阶段非常相似,即攻击者首先对目标设备进行端口扫描,以获取开放端口,然后尝试密码猜解或暴力破解等方式进行登录获取管理员权限,以达到攻破目的主机的目的。对此ag立即展开详细分析。
通过在开放的威胁情报分析平台上查询此ip信息,结果显示此ip地理位置归属为巴拿马地区,且多个威胁情报分析平台都对此ip通报了“永恒之蓝”、“勒索病毒”以及端口扫描等威胁特征,表明其属于高危攻击源。
使用浏览器对攻击
ssh 22号端口也是开放的,如果这里也是默认用户名和弱密码的话则增加了其被攻破的可能性。
1.数据可能被黑客加密然后向客户进行勒索;且重要数据如果被恶意删除后果不堪设想;
2.被黑客当作肉鸡去攻击外网的服务器;
3.被当作肉鸡入侵内网的其他服务器和主机,造成一系列的横向威胁;
4.在上面挖矿,消耗CPU、GPU、内存和网络带宽。
登录网络流量分析系统,查看安全检测数据,并下探此可疑ip的目标攻击用户,发现在最近一个月周期内,此可疑ip针对内网地址10.0.1.25产生了5000多次告警事件:
下探查看攻击类型以及告警信息:
在安全事件告警信息列表中查询此外网地址:
由此可见,
查看应用层报文,摘要中显示TDS7 login字样,可能是在进行非法登录操作,查看报文详细内容:
对比其他告警事件数据包内容:
报文分析中Username均为sa(windows server数据库默认用户名),而密码每次都是随机变化,因此可以断定攻击方不停在尝试猜解密码,意图通过暴力破解方式进行非法登录操作。
发现此异常现象后,ag第一时间告知客户进行处理,经客户方确认,,10.0.1.25是内网中一台安装了windows server的服务器,通过端口映射到外网1433端口。
查看攻击ip和内网被攻击ip会话记录,发现该外网ip攻击频率约每分钟一次,每条攻击会话流持续时间都在32秒左右,结合报文payload只有60字节大小来看,没有传输文件的现象,说明内网主机10.0.1.25目前还没有被攻破,但攻击仍然在持续中。
以内网主机10.0.1.25为筛选条件,查看其会话记录,发现仍然存在大量的国内外地址对其持续进行端口扫描攻击,这也间接说明此类型攻击一般都是分布式、长周期的攻击过程,随着现在客户的安全意识提高,知道强口令、登录锁定等机制的重要性,确实在很大程度上提高了黑客攻破的难度。但这毕竟是治标不治本,如果不从根本上解决这类攻击,那么主机被攻破只是时间问题。
1、针对需要对外提供服务的server,在中间串入安防设备,如IDS,防毒墙等。
2、通过第三方防护应用来防止ssh暴力破解(denyhosts,fail2ban可以实现短时间连续多次输错密码就把IP列到黑名单,一段时间后自动移出黑名单)。
3、修改服务的默认端口,使用不常用端口。
4、定期加固系统安全防护。
