企業域控服務器遭遇滲透 火絨企業版切斷黑客入侵攻擊鏈

企業域控服務器遭遇滲透 火絨企業版切斷黑客入侵攻擊鏈

近日,火絨企業版用戶反饋,在火絨控制中心日誌內發現多條異常查殺記錄。火絨工程師遠程排查後,發現有黑客團伙曾通過域滲透,獲取了域內管理員的賬戶密碼並登錄域控服務器,再借助黑客工具找到並進入具備高價值信息的服務器,向其中植入後門病毒。但在此過程中,黑客工具與後門病毒均被火絨攔截查殺,解除了後續更大的安全隱患。


企業域控服務器遭遇滲透 火絨企業版切斷黑客入侵攻擊鏈

圖:火絨攔截黑客工具和病毒的日誌


火絨工程師溯源分析,黑客獲取域管理賬戶密碼登陸域控服務器後,使用AdFind工具獲取域內所有終端的信息,再借此將一款竊密木馬發送至域內終端的c:\windows目錄中,準備隨時盜取員工終端內賬戶等信息;此外,不排除該黑客團伙下一步將對高價值服務器投放勒索病毒,加密文件獲取贖金的可能。

企業域控服務器遭遇滲透 火絨企業版切斷黑客入侵攻擊鏈

圖:黑客留在用戶終端的信息


然而,上述黑客投放的病毒和工具,均被火絨及時攔截查殺。通過火絨控制中心日誌可以發現,今年4月1日火絨曾攔截阻止AdFind、psexec等黑客工具運行。其中,AdFind工具可以幫助黑客獲取企業域內信息,篩選重要服務器;psexec工具則常被用以內網滲透,如投放後門病毒。


企業域控服務器遭遇滲透 火絨企業版切斷黑客入侵攻擊鏈

事實上,域管理擁有能幫助企業進行合理分配權限、優化管理成本、提高信息安全性的特點,很多大型企業、工廠等均會採用域控制來進行統一管理,這也導致域滲透成為黑客攻擊企業獲取不當利益的主要原因。一旦域管理員賬戶被盜取,黑客便可在域環境中擁有極高的權限,盜取信息、投放病毒甚至遠程控制。

對此,火絨工程師建議除了增強管理員密碼強度以外,還可以在安裝部署火絨後,開啟“遠程登錄防護”和“終端動態認證”,直接阻斷黑客獲取域管理員密碼後,企圖登陸域控服務器的行為。


企業域控服務器遭遇滲透 火絨企業版切斷黑客入侵攻擊鏈


一、“遠程登錄防護”

禁止其它陌生設備在不當獲取正確的終端賬戶密碼後,進行遠程連接操作;對添加信任的“白名單”IP則放行,不影響正常工作。


二、“終端動態認證”

通過登錄終端時進行二次驗證的方式,阻止終端遭遇密碼洩露、弱口令暴破、撞庫等黑客破解行為帶來的危害。



分享到:


相關文章: