这一步做好,能减少一半被勒索的机会

释放双眼,带上耳机,听听看~!

佛性一些,随他吧……

每次讲到安全,我都喜欢讲一个“曲突徙薪”的故事,这个故事出自班固《汉书-霍光传》,原文是:客有过主人者,见其灶直突,旁有积薪,客谓主人:“更为曲突,远徙其薪,不者且有火患”。主人默然不应。俄而果失火,邻里共救之,幸而得息。于是杀牛置酒,谢其

这一个月内,又有几家大型单位被勒索病毒感染,黑客勒索的赎金均为几十万元。

而且在近期的几次勒索事件中,经过我司技术人员的现场取证分析,和之前发现的勒索事件一样,都有一些共同点。关于如何防范,每次的文章我都会写的比较多,引起事件的原因也很多,今天不做过多的描述与分析,有兴趣的同学可以翻看我之前的文章(详见文末链接)。

今天只讲一点。

想象一下,如果你是一个小偷,你想进入一个大楼偷东西,有几种方法?

1、撬锁。

2、翻窗。

3、内鬼。

其实黑客也一样,黑客要想进入你的网络,也是这几种套路:

1、翻窗。用户开了一些不该开的端口,黑客通过这些端口,很容易判断用户业务,进而通过应用找到可能存在的漏洞进而进入系统。

2、内鬼。黑客进入系统的另外一种方式就是钓鱼,通过给用户发送钓鱼邮件、钓鱼网址、社交攻击等方式,吸引用户主动点击,将病毒或者木马植入用户系统.。或者是运维人员用带毒的电脑连入内网。

3、撬锁。正面破解密码进入。

这三种方法的防范方法,在前面也都讲过,安装补丁,安装杀毒软件,可以防范通过互联网、U盘等方式进入的病毒。然而,很多人忽略了最关键的一步:黑客直接破解管理员密码,大摇大摆的从正门登堂入室。而这一步,却是黑客最容易也是最常用的一步。

下图为在案发现场发现的一些黑客通过口令爆破的方式入侵系统时留下的证据。

在我之前写过的一篇文章《一场由密码引发的惨案!》中,也提到过这个问题,最近几个案例,无一不是通过破解密码进来的。


就像是重金购买防盗门,但管理员怕麻烦,就把钥匙放在门框上面或者地毯下面一样,来个人稍微一找就能找到。

最基本、最简单的口令问题往往成为网络安全最薄弱的环节 

为什么会出现这么多密码问题?

1、微软操作系统的账户管理方面存在先天缺陷:

  •   未加入域控的独立服务器:根据Windows Server版本不同,本地账户的密码会以1段 或2段哈希值方式存在系统中。

  •    已加入域控的成员服务器:根据Windows Server版本不同,本地账户和域控管理员 账户的密码以1段或2段哈希值方式存在系统中。

2、利用应用系统漏洞进入操作系统中之后:

  •      Mimikatz 1.0可提取出当前所有账户出密码哈希值,在彩虹库查询出密码。

  •      Mimikatz 2.0可直接提取出当前所有账户的密码。

      在前几天一个被勒索病毒加密的机器上我们就发现了黑客使用的mimikatz工具以及破解出来的客户的所有账户密码。

3、网络上存在上大量破解静态口令的工具(暴力破解、口令字典、协议分析工具等等)如:

① 使用工具字典方式进行暴力破解。

② 使用社工的方式进行破解。

③ 使用网络嗅探方式窃取非加密的身份鉴别信息;

④ 使用猕猴桃软件或彩虹库进行密码提取。

⑤ 获取系统运维详细记录文件。

等等……

4、很多静态口令都“终身”使用,不能及时更换。

5、领导基本不会更换管理员为其设定的口令。

6、要记忆或管理的口令太多、太分散。

7、太过复杂的密码记不住、输入麻烦。不如弱口令用着方便。

(3)

如何解决口令安全问题:


解决口令安全问题,我的建议如下:

一、设置强口令,避免使用弱口令。


      密码复杂度设置规则:

  1. 口令长度10位以上,应包含数字、字母(大小写)、特殊字符。

  2. 口令中不得包含用户名。

  3. 口令中不得包含系统默认口令以及变种比如admin、admin123。

  4. 口令中不得包含常见的有规律的数字、字母组合和键盘上有规律的字符组合 比如123qaz、qwert等。

  5. 口令中不得包含常见的英文单词以及专业术语  P@ssw0rd。

  6. 口令不得为字符串重复组合 1qaz2wsx。

  7. 口令中不得出现本人姓名、出生日期、EMAIL地址、办公电话、手机号码、身份证号等与本人有关的公开信息。

    从“从‘又双叒叕一家单位被勒索了!’想到的”想到的

    昨天晚上,我发了一篇公众号文章《又双叒叕一家单位被勒索了!》,鼎信等保测评公司的何威风同学看到后写了一篇《从“又双叒叕一家单位被勒索了”想到的》。我又从他的文章中有有感而发,写下了本文,标题有点拗口,请大家担待一下。 他在文章中写到: 我们在

  8.  口令不得包含与行业、组织或其他地域特定名词缩写。

  9. 口令不得包含与业务系统相关的英文名称、简称、中文全拼、中文首字母缩写或组合和系统IP地址等变种。

  10. 口令不得包含英文短句或汉语短句的拼音:例如i-love-you whoami。

  11. 口令每三个月修改一次 修改后的口令与近两次的口令不得完全相同。


这里需要强调的是,强口令不仅适用于操作系统,也适用于网络设备(交换机、路由器、无线等)、应用系统(OA\web\ERP\ HIS等)、数据库、安全设备(如防火墙、堡垒机、IPS、 VPN等)等。

二、使用堡垒机。


堡垒机其实原理并不复杂,大家可以把堡垒机理解成一个中转站,或一个单点登录的跳板,任何人想登录系统,必须先登录堡垒机,再通过堡垒机来进行后续的运维操作。这样管理起来就方便了,CIO只要在堡垒机中给每个相关人员设定好账号和权限,就能把一群人全都严格限制住。你的账号就代表了你的身份,你能做什么操作?能查看哪些服务器、数据库?都有明确的权限。所以说堡垒机就是为解决运维混乱,帮助CIO合规管理而生的神器,堡垒机不仅能规范账号和权限,还很好的解决了安全审计的问题。

三、使用双(多)因素身份鉴别系统。

在等保中,也有专门的规定,要求使用双(多)身份鉴别系统:

8.1.3.1 身份鉴别  本项要求包括:

a)  应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份 鉴别信息具有复杂度要求并定期更换;

b)  应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

c)  当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过 程中被窃听;

d)  应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别 技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

以上是个人的一些建议,欢迎补充探讨。

关于强密码,给大家出一道题吧:

下列密码,你认为哪一个算是强密码呢?

1、cb%8Yn3r 

2、zhangsan@123 

3、Admin#123 

4、1qaz@WSX 

5、P@ssw0rd 

6、qazwsxedc1234 

7、zhangsan@1988 

8、lisi@163.com 

9、18399930003 

10、zzga&erligang 

11、hnwst$#qq 

12、whoami 

13、111111 

14、ak%8Yn3r&Unyt

最后我想说的一句话是:不要以为你的系统被攻破是因为黑客有多高级的技术,而是你太大意。

千万不要重金购买防盗门,但把钥匙放在门框上。


延伸阅读:

这是一篇价值几十万的文章!

注意:新一轮勒索病毒攻击医院行业

勒索病毒和恶意软件最容易藏身的五个地方

注意:GandCrab勒索病毒出现5.0.3版本

号称完美破解GandCrab勒索病毒的某厂商,你真的不会脸红吗?

来看看你被勒索病毒加密的文件是否可解

又双叒叕一家单位被勒索了!

一场由密码引发的惨案!

难道这就是近期医院屡受攻击的原因?

小心,一大波病毒来袭!!

聊聊关于勒索病毒那些事!

关于勒索病毒,你需要知道的几个问题!

永恒之蓝勒索病毒完整解决方案

浅谈虚拟化平台的防病毒保护

等保中对灾难恢复的要求

有了双活,真的就确保安全了吗?

欢迎扫描二维码关注:大兵说安全

感谢您的打赏,您的打赏是我继续写作的动力。

点击一下广告也是对我最大的支持。非常感谢。

本文源自微信公众号:大兵说安全

防黑必备技能之端口篇(2)

在上一节《防黑必备技能之端口篇(1)》,我们讲了端口的一些基础知识,包括什么是端口、常见的端口以及端口的作用。这一节,我们讲第4部分,如何查看电脑端口的占用情况。 04 — 如何查看端口占用情况 我们分windows和linux两种不同的平台分别介绍。 一、win

人已赞赏
安全工具

巧设“蜜罐”,定位蓝屏攻击源

2019-10-14 17:34:32

安全工具

佛性一些,随他吧……

2019-10-14 17:34:44

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索