默認賬戶居然是黑客入侵高頻通道 火絨防護措施

 行業動態     |      2020-11-04 08:52
家用攝像頭被入侵,導致私人視頻資料外泄;個人路由器被攻擊,致使錢財被騙取……近年來,類似這樣的報道層出不窮,而導致這些惡劣事件頻頻發生的主要原因之一,正是常見的默認賬戶。
 
默認賬戶,普遍存在于各類軟硬件、系統上,名稱多為固定格式,生成具有一定規律,易被黑客利用;一些默認賬戶權限高,甚至部分軟、硬件的賬戶還默認配置了簡單的賬戶密碼,更為關鍵的是,這些默認賬戶極易被忽視管理……以上種種,導致默認賬戶成為被黑客暴破攻擊的主要對象。
 
事實上,除了上述攝像頭、路由器等電子產品,用戶常用的電腦系統和各類軟件同樣是因默認賬戶面臨安全風險的“重災區”。
 
火絨工程師解釋,系統安裝時,會直接生成默認賬戶,如Windows安裝后的默認管理員Administrator、Linux的默認賬戶root等。即使運維人員在系統安裝完畢后,禁用默認賬戶并創建新賬戶,使用的名字也多數是"Administrator"、"User"等常見用戶名,并未達到提高安全性的目的。
 
不僅如此,部分軟件安裝后也會默認創建Windows管理員賬戶,如VA_admin、Ras_admin等。甚至像是遠程工具Radmin,網站業務使用的SQL Server數據庫、WebLogic中間件等軟件自身生成的默認賬戶,也存在此類安全隱患。
 
Image-0.png

Windows系統的默認管理員賬戶
 
Image-1.png





 軟件默認創建的Windows管理員賬戶 
 
一旦黑客成功暴破默認賬戶,特別是有管理員權限的系統賬戶,在沒有針對性防御方式的情況下,便可執行任意操作,包括投放黑客工具、搜集敏感信息、投放勒索病毒加密文件等等。
 
根據火絨處理過的有關企業遭遇遠程暴破并被投放勒索病毒的案例顯示,其中因默認賬戶被入侵的安全事故就占據了8成。在此,我們選出了幾個有關企業使用系統、軟件默認賬戶,導致黑客、病毒入侵的案例進行分享,并給予相關安全建議,希望幫助大家規避風險。

 
一、企業遭病毒勒索,軟件自帶默認賬戶是誘因
 
火絨收到企業求助,稱其內部文件被加密,導致無法打開,并被索要贖金解密。火絨工程師溯源后發現,黑客利用服務器內的管理員賬戶進行遠程桌面登錄,上傳黑客工具并手動投放名為“Globelmposter”的勒索病毒,從而加密企業重要文件。最終,火絨工程師通過下載火絨企業版,成功查殺并清除了該勒索病毒與被發現的黑客滲透工具,但由于該勒索病毒使用非對稱加密算法,因此目前在沒有私鑰的情況下暫時無法解密。
 
Image-2.png
 火絨查殺并清除了勒索病毒和黑客工具
 
實際上,由于該企業一直使用某軟件默認創建的Windows管理員賬號“VA_admin”,且密碼強度弱,并未設置訪問限制,因此黑客在短時間內獲得該賬戶密碼并登錄后,發起了后續惡意行為。
 
值得一提的是,火絨企業版除可清除黑客工具并阻止病毒運行外,為防止黑客入侵,有效保護賬戶安全,用戶還可開啟【遠程登錄防護】功能,限制訪問IP,阻止黑客遠程登錄行為,或使用【終端動態認證】功能,開啟二次驗證,防止黑客進一步入侵終端。
 



 Image-3.png
 
Image-4.png
 

二、“隱匿者”入侵企業服務器,惡意行為牟取利益
 
某企業服務器內頻繁報毒,遂求助火絨。火絨工程師遠程查看該服務器后,發現數據庫內出現大量SQL Server的默認賬戶"sa"登陸失敗的日志及非用戶創建的異常作業,并在用戶終端反復收到火絨報毒提示。根據用戶現場發現的病毒特征推斷,該服務器是被名為"隱匿者(MyKings)"的僵尸網絡入侵,從而導致異常的。

 

 Image-5.png
 用戶終端反復收到火絨報毒提示 
 



 Image-6.png
 
火絨工程師表示,"隱匿者(MyKings)"僵尸網絡會通過SQL Server暴破等方式進行傳播,并在控制服務器后,執行DDoS、挖礦、遠控等多種惡意行為,影響十分惡劣。
 
最終,火絨工程師為防止病毒再次入侵,向用戶提供了安全建議,遠程操作刪除了SQL Server數據庫內被添加的惡意作業和其他相關組件,并通過使用火絨專殺工具及火絨終端查殺徹底解決了用戶服務器內的病毒問題。


 
Image-7.png
 
安全建議:
1.增強安全意識,謹慎考慮使用廠商開發商自帶的默認賬戶,如必須使用,建議修改用戶名及密碼。
 

2.修改如“admin”“User”等常見用戶名,使用特征相對明顯的用戶名并建議禁用或限制默認管理員賬戶,避免病毒對常見用戶名進行暴破;
 

3.避免使用默認密碼,建議設置長度在 10 位以上,由大小寫字母、數字、特殊符號組合的符合復雜性要求的高強度密碼,并定期更換,避免出現多個密碼復用、無密碼、弱口令狀況出現;(建議企業終端使用不同的高強度密碼進行管理,員工終端不少于8位,外網服務器不少于15位,且帶有數字、大小寫字母及符號)
 

4.企業終端全面部署火絨或其他安全軟件,并通過檢查火絨、系統和其他安全服務日志,排查企業內可能存在的安全問題,發現終端異常及時使用火絨進行全網查殺,或向火絨求助,獲取專業的、有針對性的安全加固。
 
"火絨企業版"自2018年初面市以來,已有上萬家政府、企業單位部署試用。該產品易于安裝,操作簡單,運行穩定,未發生過一起嚴重產品故障,充分滿足各單位網絡安全需求。任何政企單位都可以通過火絨官網申請,免費試用"火絨企業版"3個月。