(图:腾讯皇家世界损失感知信息)
获得客户同意后,腾讯安全技术专家结合第四纪的密钥日志在客户端机器上进行远程取证,最后确定这是针对SSH服务器弱密码爆破的攻击事件。幸运的是,由于及时发现,技术专家迅速协助客户进行隔离和反病毒操作,有效遏制邪恶团伙的进一步入侵,否则后果无法预测。
(图:不道德的黑客成功利用SSH弱密码)
然而,这次攻击只是非法黑客发动邪恶链条的冰山一角。基于这一线索,腾讯安全宇智威胁情报中心对此事件展开调查,发现这是一场专业的网络攻击。该团伙已经对目标SSH服务器进行了4,000次连接尝试,并最终成功爆破。攻击发生后,攻击者首先植入了SSH后门和IRCbot后门程序,并通过内部网络传播SSH弱密码,迫使受害者机器接收远程命令安装挖掘和DDoS攻击模块,从而做好准备为下一步。
(图:非法黑客尝试登录类型分发)
据腾讯安全技术专家介绍,该集团使用的基础设施主要分布在俄罗斯,美国,法国,荷兰,新加坡等国家和地区,目标也遍布全球。根据初步统计,该团伙的潜在目标是每天大约100,000 IP。到目前为止,近200个门罗硬币被非法挖掘,相当于约12万元人民币,对用户资产的安全构成了巨大威胁。
在整个全球网络安全环境中,弱密码爆破事件在世界范围内几何增长。 4月15日,国内企业使用弱密码对企业SQL服务器进行了爆破攻击。腾讯安全宇智威胁情报中心对整个事件进行了可追溯性调查,发现邪恶团伙成功入侵了3700多台SQL服务器,涉及数百家中小企业,并获得了这些企业服务器的管理员权限。下载正在运行的Monroe采矿木马。类似的恶意攻击可能给个人隐私保护,企业安全生产乃至经济和社会发展带来新的挑战。
为了防止此类肆无忌惮的黑客事件再次发生,腾讯安全防病毒实验室负责人马劲松提醒企业网管部门要高度重视安全防范措施,并提出三大安全防御措施:建议使用安全的密码策略和高强度密码。为了防止黑客暴力破解;使用密钥登录,打开SSH实时监控本地内网IP,尽量不给服务器外网IP;此外,建议在整个网络上部署腾讯Guardian高级威胁检测系统,以提前检测并有效抵御漏洞攻击。保护公司免受数据和财产损失。
(图片:腾讯皇家威胁检测系统)
据了解,腾讯皇家高级威胁检测系统是基于腾讯安全防病毒实验室的安全功能,依托腾讯在云端的大量数据和终端,开发出独特的威胁情报和恶意检测模型系统。腾讯皇家拥有基于行为的保护和智能模型两项核心功能,可以有效地检测未知威胁,并通过分析内部和外部网络边界的网络流量,利用漏洞利用和攻击,全面保护企业网络系统和业务安全。
