『黑客』企业域控服务器遭遇渗透火绒企业版切断黑客入侵攻击链 |跳槽那些事儿|工程师|Windows|

【『黑客』企业域控服务器遭遇渗透火绒企业版切断黑客入侵攻击链】

本文插图
近日，火绒企业版用户反馈，在火绒控制中心日志内发现多条异常查杀记录。火绒工程师远程排查后，发现有黑客团伙曾通过域渗透，获取了域内管理员的账户密码并登录域控服务器，再借助黑客工具找到并进入具备高价值信息的服务器，向其中植入后门病毒。但在此过程中，黑客工具与后门病毒均被火绒拦截查杀，解除了后续更大的安全隐患。

本文插图
图：火绒拦截黑客工具和病毒的日志
火绒工程师溯源分析，黑客获取域管理账户密码登陆域控服务器后，使用AdFind工具获取域内所有终端的信息，再借此将一款窃密木马发送至域内终端的c:\windows目录中，准备随时盗取员工终端内账户等信息；此外，不排除该黑客团伙下一步将对高价值服务器投放勒索病毒，加密文件获取赎金的可能。

本文插图
图：黑客留在用户终端的信息
然而，上述黑客投放的病毒和工具，均被火绒及时拦截查杀。通过火绒控制中心日志可以发现，今年4月1日火绒曾拦截阻止AdFind、psexec等黑客工具运行。其中， AdFind工具可以帮助黑客获取企业域内信息，筛选重要服务器；psexec工具则常被用以内网渗透，如投放后门病毒。

本文插图
事实上，域管理拥有能帮助企业进行合理分配权限、优化管理成本、提高信息安全性的特点，很多大型企业、工厂等均会采用域控制来进行统一管理，这也导致域渗透成为黑客攻击企业获取不当利益的主要原因。一旦域管理员账户被盗取，黑客便可在域环境中拥有极高的权限，盗取信息、投放病毒甚至远程控制。
对此，火绒工程师建议除了增强管理员密码强度以外，还可以在安装部署火绒后，开启“远程登录防护”和“终端动态认证” ，直接阻断黑客获取域管理员密码后，企图登陆域控服务器的行为。

本文插图
一、“远程登录防护”
禁止其它陌生设备在不当获取正确的终端账户密码后，进行远程连接操作；对添加信任的“白名单”IP则放行，不影响正常工作。
二、“终端动态认证”
通过登录终端时进行二次验证的方式，阻止终端遭遇密码泄露、弱口令暴破、撞库等黑客破解行为带来的危害。

『黑客』企业域控服务器遭遇渗透 火绒企业版切断黑客入侵攻击链

『黑客』企业域控服务器遭遇渗透火绒企业版切断黑客入侵攻击链