一、概要

近期，業(yè)界監(jiān)控到多地發(fā)生GlobeImposter勒索病毒事件，感染后可導(dǎo)致Windows服務(wù)器文件被加密。本次攻擊者主要的突破邊界手段可能為Windows遠(yuǎn)程桌面服務(wù)密碼暴力破解，在進(jìn)入內(nèi)網(wǎng)后會進(jìn)行多種方法獲取登陸憑據(jù)并橫向傳播，同時(shí)選擇高價(jià)值目標(biāo)服務(wù)器人工投放勒索病毒。

請涉及威脅的租戶根據(jù)自身業(yè)務(wù)情況，采取防護(hù)措施。

二、漏洞級別

漏洞級別：【嚴(yán)重】

（說明：漏洞級別共四級：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

1. 存在弱口令且開啟RDP 3389端口的Windows系統(tǒng)；

2. 內(nèi)網(wǎng)Windows終端、服務(wù)器使用相同或者少數(shù)幾組口令；

3. Windows服務(wù)器、終端未部署或未及時(shí)更新安全加固和殺毒軟件。

四、排查和處置方法

排查方法：

1. 檢查系統(tǒng)是否安裝了最近系統(tǒng)漏洞補(bǔ)丁包；

2. 檢查系統(tǒng)是否開啟了3389端口的RDP網(wǎng)絡(luò)共享協(xié)議且使用了弱口令；

3. 檢查系統(tǒng)是否開啟了445端口的SMB網(wǎng)絡(luò)共享協(xié)議，或者不必要的共享端口；

處置方案：

1. 隔離感染主機(jī)：已中毒計(jì)算機(jī)盡快隔離，關(guān)閉所有網(wǎng)絡(luò)連接，禁用網(wǎng)卡;

2. 切斷傳播途徑：關(guān)閉3389、445、135、139等高危端口，關(guān)閉異常的外聯(lián)訪問；

3. 使用復(fù)雜密碼：RDP遠(yuǎn)程服務(wù)器等連接盡量使用復(fù)雜密碼，不要使用簡單密碼；

4. 查找攻擊源：手工抓包分析或借助態(tài)勢感知類產(chǎn)品分析。

五、安全建議

1. 不從不明網(wǎng)站下載相關(guān)的軟件，不要點(diǎn)擊來源不明的郵件以及附件；

2. 及時(shí)給電腦打補(bǔ)丁，修復(fù)漏洞；

3. 修改密碼：設(shè)置主機(jī)賬號密碼為高強(qiáng)度的密碼；

4. 對重要的數(shù)據(jù)文件定期進(jìn)行非本地備份；

5. 安裝專業(yè)的第三方反病毒軟件（推薦使用華為云市場軟件）；

6. 關(guān)閉或通過安全組限制不必要的文件共享權(quán)限以及端口，如：445、135、139、3389等。

注意：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。