去年元旦前夕，亞信安全網(wǎng)絡威脅服務部（NTS）收到了用戶提交的病毒案件：多臺設備于27日晚感染了勒索病毒。

亞信安全的技術專家展開調(diào)查與處置，驗定總部4臺服務器、3臺終端設備，以及分部4臺服務器受到感染，加密文件后綴為mkp，初步分析屬于makop勒索家族。亞信安全展開整個攻擊事件的溯源分析：

• 通過分析總部服務器系統(tǒng)日志，亞信安全專家發(fā)現(xiàn)勒索加密時間附近，存在RDP遠程登陸，經(jīng)確認是來自分部的某臺服務器；

  
  

• 在查看分部服務器的系統(tǒng)日志，發(fā)現(xiàn)了大量的清除事件以及登錄失敗事件，從而確認鎖定攻擊者在27日22:30成功登錄了失陷服務器，之后投放勒索病毒并清除了相關日志；

  
  

• 再進一步回溯，發(fā)現(xiàn)27日之前的系統(tǒng)日志中已經(jīng)出現(xiàn)幾條可疑的遠程登陸記錄，經(jīng)確認其中部分遠程地址來自勒索攻擊相關的IP源，從而鎖定了攻擊源；

最終可以確定的是，此次攻擊事件中，分部服務器是最先受到攻擊并失陷的，攻擊者RDP登陸服務器，使用內(nèi)網(wǎng)掃描工具并放置勒索病毒。由于分部的部分設備與失陷服務器使用了同一個系列的口令密碼（存在網(wǎng)絡共享），難逃被加密的劫難；不僅如此，總部的4服務器也是因為同樣的問題慘遭毒手。

無論“強與弱”，弱口令的檢查與管理其實是企業(yè)安全運營中最為關鍵、基礎的環(huán)節(jié)，尤其是對于事前預防而言更是重要。做好弱口令掃描和安全基線的核查兩大工作，能夠快速高效的對企業(yè)環(huán)境中的Windows、Linux、服務器、云主機等進行賬號口令的安全檢查，及時發(fā)現(xiàn)賬號口令的安全風險。

弱口令掃描 -

1秒內(nèi)完成，業(yè)務：剛剛發(fā)生了什么？

目前，亞信安全的信端終端安全產(chǎn)品，以及信艙云主機安全產(chǎn)品都具有弱口令掃描以及安全基線核查的功能模塊。其中系統(tǒng)弱口令掃描功能，是將弱口令字典中的口令按照Windows、Linux系統(tǒng)口令的加密算法計算哈希密文，然后和系統(tǒng)注冊表或者Shadow文件中的密文進行比對。該掃描算法資源占用低、耗時短，一般內(nèi)置的5000條弱口令在Windows系統(tǒng)里能夠1秒內(nèi)完成，Linux系統(tǒng)可在1分鐘內(nèi)完成，完全做到業(yè)務無感。其他數(shù)據(jù)庫與Web應用的弱口令實現(xiàn)機制各有不同，均經(jīng)過測試，能夠確保不會影響正常業(yè)務，快速高效的完成常態(tài)化弱口令檢測。

弱口令庫內(nèi)置超過5000條，可通過在線庫更新的方式定期更新內(nèi)置弱口令庫，快速精準地檢測企業(yè)環(huán)境中的弱密碼。同時還支持自定義賬號庫和口令庫，支持最多10個字典庫文件，單個文件不超過50kb的弱口令字典文件上傳，用戶可根據(jù)需求，在界面上靈活選擇并使用字典文件。

安全基線核查 –

等保二等保三安全基線對口令安全的合規(guī)檢查

亞信安全信端終端安全產(chǎn)品，以及信艙云安全產(chǎn)品DeepSecurity均提供了強大的基線檢查能力，能夠?qū)Ω鶕?jù)二級等保、三級等保等要求對主機進行統(tǒng)一掃描，支持檢測操作系統(tǒng)的賬號權限、身份鑒別、密碼策略、訪問控制、安全審計和入侵防范等安全配置，并提供檢測結果，針對存在的風險配置給出加固建議。

Windows主機賬號口令配置合規(guī)檢查

Linux主機賬號口令配置合規(guī)檢查