◆倪斌 李懷義 李文棣 童話

（應(yīng)急管理部消防救援局昆明訓(xùn)練總隊 云南 650000）

1 引言

隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及，消防系統(tǒng)構(gòu)建了政務(wù)辦公網(wǎng)、指揮調(diào)度網(wǎng)兩大業(yè)務(wù)信息網(wǎng)絡(luò)，采用內(nèi)網(wǎng)方式運行，在網(wǎng)絡(luò)內(nèi)部署了獨立的信息管理系統(tǒng)和數(shù)據(jù)庫。

近年來，網(wǎng)絡(luò)入侵事件也時有發(fā)生。主要方式有黑客攻擊、病毒擴散、木馬植入、后門軟件監(jiān)控等，利用系統(tǒng)漏洞、未屏蔽端口等可乘之機偽裝入侵到內(nèi)部網(wǎng)絡(luò)中，盜取內(nèi)網(wǎng)的重要信息，損壞重要數(shù)據(jù)和文檔，給系統(tǒng)造成難以挽回的損失。2017年5月就爆發(fā)過一次大規(guī)模的勒索軟件病毒事件，我國大量行業(yè)內(nèi)網(wǎng)發(fā)生大規(guī)模感染，包括醫(yī)療、電力、能源、銀行、交通、企業(yè)等多個系統(tǒng)均遭受不同程度的影響。該勒索軟件是一個名稱為“WannaCry”的木馬，利用445 端口的SMB 漏洞MS17-010 傳播擴散，造成損失最大的不是暴露在開放區(qū)域的互聯(lián)網(wǎng)用戶，而是防護(hù)級別更高的基于物理隔離保護(hù)下的行業(yè)內(nèi)網(wǎng)終端，造成各行各業(yè)的數(shù)據(jù)損失難以估計。

2 消防系統(tǒng)內(nèi)網(wǎng)安全威脅類型

我們利用威脅分析系統(tǒng)對消防系統(tǒng)某單位的內(nèi)網(wǎng)數(shù)據(jù)出口網(wǎng)絡(luò)安全威脅情況進(jìn)行了一段時間的檢測及分析。在1 個月的時間內(nèi)，共發(fā)現(xiàn)記錄了4.87 億次攻擊或異常行為。其中最多的行為是嘗試獲取用戶權(quán)限，發(fā)生了4.82 億次，其次是有280 萬次密碼暴力破解的行為被記錄。根據(jù)信息分析，*.*.*.0/24 網(wǎng)段和IP 為*.*.*.204205206的設(shè)備異常行為較多，需做重點排查和深度檢測。根據(jù)檢測分析，內(nèi)網(wǎng)網(wǎng)絡(luò)安全威脅主要有惡意樣本投遞、漏洞攻擊、Web 應(yīng)用攻擊、密碼暴力破解、情報外聯(lián)、蠕毒木馬活動等幾類攻擊威脅類型。

圖1 內(nèi)網(wǎng)網(wǎng)絡(luò)安全威脅情況監(jiān)測統(tǒng)計圖

3 內(nèi)網(wǎng)系統(tǒng)威脅分析及對策思考

3.1 惡意樣本投遞

3.1.1 統(tǒng)計分析

在統(tǒng)計期間內(nèi)，共發(fā)現(xiàn)惡意文件下載行為有1761 個，其中有13 1 個高危，1629 個危急。識別的文件惡意病毒類型主要有MALWAR E::HackTool.Win32.RemOxec.、AIHENE::Trojan.Swizzor.Gen.1、MAL WARE::Trojan.GenericKD.31716701 等5 類病毒。

3.1.2 惡意樣本投遞處置對策

（1）在內(nèi)部重要主機如服務(wù)器、數(shù)據(jù)庫存儲上安裝終端安全保護(hù)軟件。

（2）檢查被攻擊的服務(wù)器是否運行正常，對服務(wù)系統(tǒng)進(jìn)行全盤殺毒，查殺結(jié)束后重啟設(shè)備，并檢查重啟后是否有其他新的文件或進(jìn)程生成。

（3）檢測內(nèi)部是否有其他存在異常行為的主機，如：內(nèi)存突然飆升，CPU 一直保持峰值等，對不正常主機進(jìn)行排查。

3.2 漏洞攻擊

3.2.1 統(tǒng)計分析

系統(tǒng)漏洞攻擊就是指攻擊者利用已知的系統(tǒng)安全漏洞或者系統(tǒng)已經(jīng)暴露出來的弱點對主機進(jìn)行針對性攻擊。依據(jù)攻擊載荷和攻擊過程分析，共涉及有154 萬余次攻擊，涉及的攻擊主要有3 類，SMBGhost scan（CVE-2020-0796）攻擊76 萬次，OS-WINDOWS Microsoft Windows Color Management Module buffer overflow attempt攻擊75 萬次，MS17-010 漏洞攻擊2 萬次。

3.2.2 漏洞攻擊處置對策

（1）根據(jù)被攻擊IP 統(tǒng)計，檢查相關(guān)主機的進(jìn)程及日志，并驗證相關(guān)漏洞攻擊是否成功，立即下線進(jìn)行安全修復(fù)；

（2）增強企員工安全意識。對不明郵件附件和不明站點謹(jǐn)慎點擊訪問；

（3）定期及時更新系統(tǒng)安全補丁，并定期做安全巡檢。

（4）對內(nèi)部攻擊源進(jìn)行追溯，以確認(rèn)攻擊行為發(fā)生原因。

（5）對內(nèi)部被攻擊者進(jìn)行安全查驗。

3.3 Web 應(yīng)用攻擊

3.3.1 統(tǒng)計分析

在統(tǒng)計時段內(nèi)，發(fā)現(xiàn)31，022 次Web 應(yīng)用攻擊。常見Web 應(yīng)用攻擊類型有：Web 明文口令泄露，CVE 漏洞攻擊，信息泄露，特洛伊木馬通信，疑似正常SQL 語句，潛在隱私策略違反，WebShell 檢測等。受到Web 應(yīng)用攻擊可能導(dǎo)致數(shù)據(jù)被竊取、更改、刪除，甚至執(zhí)行系統(tǒng)命令等，以及進(jìn)一步導(dǎo)致產(chǎn)生網(wǎng)站被嵌入惡意代碼、被植入后門程序等危害。在分析中，發(fā)現(xiàn)傳輸載荷里明文傳輸了一些用戶名和密碼。這可能導(dǎo)致劫持后直接獲取到相關(guān)系統(tǒng)賬戶權(quán)限，造成權(quán)限外泄。

3.3.2 Web 應(yīng)用攻擊處置對策

（1）驗證是否存在對應(yīng)漏洞，查看主機異常端口請求、CPU 使用率是否正常；

（2）刪除啟動項異常進(jìn)程，安裝木馬查殺等專業(yè)防護(hù)軟件；

（3）更新服務(wù)器補丁和各類中間件版本；

（4）進(jìn)行漏掃掃描、專業(yè)人工滲透或代碼審計和漏洞修復(fù)工作。

3.4 密碼暴力破解

3.4.1 統(tǒng)計分析

在統(tǒng)計時段內(nèi)，發(fā)現(xiàn)了2，810，938 條暴力破解行為記錄，且存在有疑似密碼爆破成功紀(jì)錄。根據(jù)溯源調(diào)取發(fā)現(xiàn)，大部分目標(biāo)為使用TCP 協(xié)議的445 端口，也混雜有SSH 等其他爆破手段。暴力破解是指攻擊者通過組合所有可能性，例如登錄賬戶名、密碼等，嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。攻擊者會經(jīng)常使用自動化腳本組合出正確的用戶名和密碼。一旦破解成功，攻擊者將能使用合法賬號登錄系統(tǒng)獲取權(quán)限，危害極大。

3.4.2 密碼暴力破解處置對策

（1）可以采取限制用戶登錄失敗次數(shù)的方式，例如：用戶一小時內(nèi)連續(xù)登錄失敗5 次，就鎖定該用戶，禁止繼續(xù)登錄。可以通過管理員手動解鎖或者幾小時后自動解鎖；

（2）增加驗證碼攔截器，驗證碼驗證成功后才能請求到登錄接口；

（3）增加密碼的強度，盡量使用復(fù)雜的密碼數(shù)字、字母或特殊字符組合的密碼；

（4）增加密碼定期修改功能，避免密碼長時間未修改而導(dǎo)致隱患。

（5）對高危設(shè)備進(jìn)行安全狀況追溯，確保是否在被滲透后存在木馬后門或其他危害行為，清除木馬后門后，應(yīng)加強防爆破的防護(hù)安全策略。

（6）對發(fā)起爆破的設(shè)備進(jìn)行跟蹤，確保是否是被控行為或其他異常行為過程導(dǎo)致監(jiān)測到爆破結(jié)果。

3.5 情報外聯(lián)

3.5.1 統(tǒng)計分析

通過采用威脅事件—APT 威脅—過濾APT 惡意樣本的篩查發(fā)現(xiàn)，在統(tǒng)計期間內(nèi)，共有異常行為次數(shù)達(dá)36，263 次，追溯次數(shù)靠前的幾個目的IP 的第三方威脅記錄，發(fā)現(xiàn)均是外省的IDC 設(shè)備，且都有或多或少的威脅行為記錄。

建議進(jìn)一步追溯調(diào)研事件排名較前的幾個源IP 的真實業(yè)務(wù)和真實行為，根據(jù)實際情況核實異常行為產(chǎn)生原因，以消除相應(yīng)隱患。

3.5.2 情報外聯(lián)處置對策

需要進(jìn)一步追溯調(diào)研事件排名較前的幾個源IP 的真實業(yè)務(wù)和真實行為，根據(jù)實際情況核實異常行為產(chǎn)生的原因，以消除相應(yīng)隱患。

3.6 僵尸網(wǎng)絡(luò)

3.6.1 威脅分析

在僵尸主機中，發(fā)現(xiàn)內(nèi)網(wǎng)主機有非法外聯(lián)行為，連接的目標(biāo)設(shè)備IP 共有50 個，被識別為僵尸主機。同時去第三方威脅情報平臺查詢該目標(biāo)IP，也已被多次標(biāo)記識別為惡意主機，疑似有內(nèi)網(wǎng)設(shè)備或系統(tǒng)被控。系統(tǒng)分析的過程主要按以下策略進(jìn)行：（1）排除域名解析結(jié)果為空的所有數(shù)據(jù)（代表域名解析不成功）；（2）排除所有會話狀態(tài)“嘗試建立連接，未回復(fù)”的所有數(shù)據(jù)（代表TCP 連接不成功）；（3）排除所有HTTP 返回內(nèi)容長度為空的所有的數(shù)據(jù)（代表服務(wù)端不響應(yīng)）；（4）根據(jù)IOC 在第三方情報庫進(jìn)行交叉驗證；（5）溯源僵尸主機與C2 通信行為查看payload。在真實流量環(huán)境中進(jìn)行排除，最終篩選出疑似受威脅的IP 列表。

3.6.2 僵尸網(wǎng)絡(luò)處置對策

（1）對篩選出的IP 設(shè)備執(zhí)行全盤病毒查殺；

（2）更新服務(wù)器補丁和各類中間件版本；

（3）進(jìn)一步跟蹤分析告警IP 的行為，看病毒查殺后外聯(lián)是否有遞減，如無成效應(yīng)格式化設(shè)備后進(jìn)行重新部署。

4 結(jié)束語

在信息化應(yīng)用的過程中，消防系統(tǒng)內(nèi)網(wǎng)的安全性尤為重要，決定著辦公文件、內(nèi)部資料、用戶權(quán)限等的安全健康運行。但是內(nèi)網(wǎng)建設(shè)的標(biāo)準(zhǔn)不統(tǒng)一，保護(hù)等級參差不齊，在運行的過程中，面臨著較大的安全隱患。需要從以下三個方面加強建設(shè)：一是建立多層次的網(wǎng)絡(luò)安全防護(hù)體系，在內(nèi)網(wǎng)中部署防火墻、審計系統(tǒng)、運行維護(hù)管理系統(tǒng)等安全保障設(shè)備，具備訪問控制、入侵防御、防病毒、帶寬管理、加密流量檢測、應(yīng)用識別、流量探針、安全策略調(diào)優(yōu)等能力，結(jié)合安全態(tài)勢感知、身份認(rèn)證、應(yīng)用和數(shù)據(jù)的授權(quán)訪問控制、安全審計機制，打造內(nèi)網(wǎng)“縱深防御、主動防御、安全韌性”的安全保障體系。二是建立完善的內(nèi)網(wǎng)管理制度和機制，對內(nèi)網(wǎng)系統(tǒng)中的管理人員、維護(hù)人員、系統(tǒng)用戶的操作進(jìn)行有效的規(guī)范和記錄。三是建立監(jiān)測預(yù)警機制，通過對訪問項目過程中所產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行深入的分析，對網(wǎng)絡(luò)監(jiān)測中的文件、郵件、網(wǎng)頁等行為進(jìn)行分析，結(jié)合大數(shù)據(jù)等方式，對各種高級病毒、特種木馬的威脅等進(jìn)行有效的分析，并對內(nèi)網(wǎng)空間中存在的威脅進(jìn)行有效的挖掘，進(jìn)而對內(nèi)網(wǎng)中存在的安全隱患進(jìn)行有效的預(yù)警，并建立相應(yīng)的預(yù)警機制，以保障內(nèi)網(wǎng)的安全。