綠盟威脅情報(bào)中心報(bào)告：疫情期間境外黑客發(fā)起對(duì)我國網(wǎng)絡(luò)攻擊案例

近日，全國上下正處于抗擊疫情的關(guān)鍵時(shí)期，境外黑客組織卻聲稱對(duì)我國大量網(wǎng)絡(luò)安全設(shè)備及網(wǎng)站實(shí)施網(wǎng)絡(luò)攻擊。綠盟威脅情報(bào)中心根據(jù)黑客發(fā)表的網(wǎng)絡(luò)鏈接進(jìn)行持續(xù)監(jiān)測和分析，發(fā)現(xiàn)部分網(wǎng)站并未有被入侵的證據(jù)，但也有部分網(wǎng)站已無法訪問。綠盟威脅情報(bào)中心將此次被攻擊的行為和潛在安全隱患進(jìn)行上報(bào)，并提醒相關(guān)政企單位采取措施。

一、攻擊目標(biāo)1：物聯(lián)網(wǎng)設(shè)備

不久前，境外黑客組織宣稱已掌握我國境內(nèi)大量攝像頭控制權(quán)限，并在Pastebin網(wǎng)站上公開了部分受控目標(biāo)。綠盟威脅情報(bào)中心對(duì)黑客發(fā)表的物聯(lián)網(wǎng)設(shè)備進(jìn)行持續(xù)監(jiān)控，并未發(fā)現(xiàn)實(shí)質(zhì)性的攻擊。針對(duì)全國暴露在互聯(lián)網(wǎng)的視頻監(jiān)控系統(tǒng)進(jìn)行網(wǎng)絡(luò)空間測繪后，綠盟威脅情報(bào)中心發(fā)現(xiàn)，全國有159萬視頻設(shè)備暴露在互聯(lián)網(wǎng)上。

隨著近幾年物聯(lián)網(wǎng)的飛速發(fā)展，物聯(lián)網(wǎng)相關(guān)設(shè)備的類型越來越多，物聯(lián)網(wǎng)設(shè)備的廠商眾多、類型豐富、安全防御措施少，逐漸成為黑客青睞的攻擊對(duì)象。借此，綠盟君提醒廣大用戶關(guān)注自己的視頻設(shè)備，及時(shí)進(jìn)行資產(chǎn)梳理并采取相應(yīng)的防御措施。

綠盟科技提供基于威脅情報(bào)的互聯(lián)網(wǎng)資產(chǎn)核查服務(wù)，可輔助用戶對(duì)暴露在互聯(lián)網(wǎng)上的服務(wù)器、網(wǎng)絡(luò)設(shè)備、視頻監(jiān)控設(shè)備進(jìn)行資產(chǎn)識(shí)別和梳理。若非業(yè)務(wù)需要，請大家關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)和端口，尤其是可以遠(yuǎn)程控制的端口。對(duì)所有的設(shè)備初始密碼都要盡快更換，避免空口令或弱口令。對(duì)于聯(lián)網(wǎng)設(shè)備的訪問控制界面，建議修改默認(rèn)的管理端口。在網(wǎng)絡(luò)出入口設(shè)置防火墻、入侵防御系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備，對(duì)不必要的境外通訊予以阻斷。另外，要與物聯(lián)網(wǎng)供應(yīng)商建立聯(lián)動(dòng)機(jī)制，及時(shí)關(guān)注相關(guān)產(chǎn)品漏洞公告，一旦發(fā)現(xiàn)漏洞，及時(shí)更新最新補(bǔ)丁及固件。同時(shí)建立網(wǎng)絡(luò)安全應(yīng)急處置機(jī)制，啟用網(wǎng)絡(luò)和運(yùn)行日志審計(jì)，及時(shí)發(fā)現(xiàn)攻擊風(fēng)險(xiǎn)，及時(shí)處理。最后，要做好數(shù)據(jù)備份，以備萬一。

二、攻擊目標(biāo)2：政府、企業(yè)官網(wǎng)

境外黑客組織發(fā)布的入侵對(duì)象中包括國內(nèi)多個(gè)政府、企業(yè)官網(wǎng)。綠盟科技威脅情報(bào)中心對(duì)這些網(wǎng)站進(jìn)行了持續(xù)的監(jiān)測。經(jīng)查驗(yàn)發(fā)現(xiàn)，由于某著名汽車品牌官網(wǎng)的某個(gè)子目錄的配置錯(cuò)誤，導(dǎo)致php文件沒有被成功解析，從而可以直接看到源代碼。此次被入侵的后果直接導(dǎo)致了該品牌國內(nèi)官網(wǎng)包括數(shù)據(jù)庫主機(jī)，賬號(hào)，密碼以及源代碼文件在內(nèi)的信息被泄露。

針對(duì)政府、企業(yè)官網(wǎng)的防護(hù)，綠盟君建議可暫時(shí)阻斷外網(wǎng)防火墻上訪問，先對(duì)配置錯(cuò)誤問題進(jìn)行修復(fù)，之后進(jìn)行漏洞掃描，確認(rèn)問題徹底被修復(fù)后再進(jìn)行放行。對(duì)于刪除DNS解析的網(wǎng)站，建議同時(shí)下線相關(guān)服務(wù)器。對(duì)于已經(jīng)下線的網(wǎng)站，務(wù)必做好安全檢查后再上線，否則會(huì)面臨被黑客再次入侵的風(fēng)險(xiǎn)。

三、攻擊目標(biāo)3：Hadoop數(shù)據(jù)庫

此外，在黑客公開發(fā)表的攻擊目標(biāo)中不乏國內(nèi)多個(gè)互聯(lián)網(wǎng)巨頭和電信網(wǎng)站的Hadoop數(shù)據(jù)庫。綠盟威脅情報(bào)中心對(duì)允許非授權(quán)訪問的幾個(gè)鏈接進(jìn)行了詳細(xì)分析，由于攻擊目標(biāo)間無關(guān)聯(lián)性，綠盟君猜測黑客組織對(duì)暴露在互聯(lián)網(wǎng)的未進(jìn)行嚴(yán)格安全配置的Hadoop服務(wù)進(jìn)行了掃描探測和攻擊利用。

網(wǎng)絡(luò)公司的Hadoop數(shù)據(jù)庫的防護(hù)，則需要特別注意。如果沒有業(yè)務(wù)需要，一定要關(guān)閉Hadoop Web管理頁面，并且要開啟Hadoop服務(wù)級(jí)別身份驗(yàn)證，如Kerberos認(rèn)證。同時(shí)，部署Knox、Nginx之類的反向代理系統(tǒng)，防止未經(jīng)授權(quán)用戶訪問。設(shè)置“安全組”訪問控制策略，將Hadoop默認(rèn)開放的多個(gè)端口對(duì)公網(wǎng)全部禁止或限制可信任的IP地址才能訪問50070以及WebUI等相關(guān)端口。

當(dāng)前是我國防控疫情最為關(guān)鍵的時(shí)期，大量企業(yè)單位尚未復(fù)工或?qū)⒅攸c(diǎn)工作放在防疫上，黑客利用我國部分政企單位網(wǎng)絡(luò)安全戒備松懈的時(shí)期，對(duì)我國大量網(wǎng)站及數(shù)據(jù)庫實(shí)施攻擊，其居心叵測令人深思。但這也提醒我們，網(wǎng)絡(luò)安全須時(shí)時(shí)保持警惕、刻刻不容忽視。面對(duì)以上攻擊威脅，綠盟科技除針對(duì)web端的WAF、websafe服務(wù)支持外，還提供多種方案協(xié)助用戶解決互聯(lián)網(wǎng)視頻設(shè)備安全問題：

1、提供視頻安全態(tài)勢感知平臺(tái)，該平臺(tái)能夠主動(dòng)識(shí)別互聯(lián)網(wǎng)暴露的資產(chǎn)，同時(shí)可以通過流量分析被動(dòng)識(shí)別視頻監(jiān)控設(shè)備，形成視頻監(jiān)控設(shè)備資產(chǎn)畫像。通過大數(shù)據(jù)平臺(tái)能力，對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行綜合分析與評(píng)估，對(duì)視頻監(jiān)控設(shè)備進(jìn)行威脅檢測，異常行為分析，并進(jìn)行威脅追蹤和攻擊溯源，全面掌握視頻監(jiān)控設(shè)備安全威脅態(tài)勢。

2、提供物聯(lián)網(wǎng)準(zhǔn)入網(wǎng)關(guān)，對(duì)視頻監(jiān)控設(shè)備進(jìn)行安全防護(hù)。能主動(dòng)掃描攝像頭資產(chǎn)、監(jiān)測對(duì)非法外聯(lián)行為、探測漏洞和弱口令。

3、提供物聯(lián)網(wǎng)固件安全評(píng)估系統(tǒng)，通過分析視頻監(jiān)控設(shè)備的固件，幫助企業(yè)快速發(fā)現(xiàn)視頻監(jiān)控設(shè)備中可能存在的漏洞，提供專業(yè)的安全分析能力，以避免因弱口令、溢出等漏洞引起設(shè)備控制權(quán)限的泄露，保障視頻監(jiān)控設(shè)備的安全性。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。