小白帽从病毒视角聊企业安全建设

*本文原创作者：si1ence，本文属FreeBuf原创奖励计划，未经许可禁止转载

0×0 背景

最近各类安全事件还是很流行的，以前只是批量抓鸡做DDOS现在伴随着虚拟货币的流行挖矿勒索逐步进入了大众的视野，仅以此文按照精力财力人力最小化的原则分析一些恶意行为与相对应的此类安全事件一些防范措施。

安全标准是个好东西奈何现在客户安全意识并没有特别高，所以在具体落实实践的过程中难度太大，况且按照ISO27XXXX标准、等级X保、GD*R、或者GB*X的条例来说人力物力财力都是一个不小的挑战，毕竟那都是要花钱的。在业务部门看来安全就是来找麻烦的，最后标准落实了测评通过了最后又出了安全事件又会被抓住一阵狂怼。

0×1 弱口令问题

首当其冲的还是先解决最严重的问题：弱口令。强弱密码的区分没有一个严格明确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或容易被破解工具破解的口令均可以定义为弱密码。

目前大多数worm类病毒都具备暴力破解模块针对的常见服务如下：

SSH RDP MSSQL Mysql Redis SMB SMTP HTTP 

此处定义弱口令非一些传统的类似与123456这类的弱口令主要举例如下：

A类常见的弱口令如：

12345678  1111111  admin  1234abcd   8888888

B类符合密码复杂度的弱口令如：

1qaz@WSX  Aa12345678  P@ssword

C类用户名关系配合常见字符串类的如：

zhangsan123 zhangsan888 zhangsan@qq zhangsan520

顺手写一个脚本短短几十行的代码量而已或者上github找一个弱口令生成器都可以生成大量C类弱口令：

解决建议：

统一整改一批弱口令同时设置一个强的面密码策略，设置一个若密码字段的检测针对不同的用户不运行类似C类密码的设置。

0×2 统一或规律密码问题

  去年下半年的时候出现了一个比较流行的勒索病毒叫GlobeImposter3.0，该勒索往往可以导致内网很多主机同时被勒索。加密文件的后缀改成.动物名称+4444的样子，如：.Horse4444 12生肖凑齐的感觉有没有。

这货利用mimikatz.exe扫描本机的所有账户机器密码，将结果保存到result.txt里面加入到暴力破解的字典里面。之后利用nasp.exe扫描哪些机器开放3389端口。然后远程登录桌面爆破工具NLBrute.exe会根据扫描结果，依次爆破局域网的机器。拿到机器账号后，成功登陆进而重复该步骤，再次进行传播。

针对很多内网主机密码都是一致的情况，估计分分钟就内网就歇菜了。比如还有一些运维管理员喜欢把密码和IP关联在一起。比如192.168.1.101 密码就设置为Root@101随便一下8个字符、大小写数字字母、特殊字符都具备了却往往很危险。攻破一台主机，可能内网所有主机都玩完了。

解决建议：

强烈推荐开源的跳板机JumpServer可以自己做二次开发，梳理内网主机的访问关系图设置内网主机的访问控制策略

0×3 系统补丁

每次谈到windows系统补丁就觉得有必要说一下Windows二个比较有代表性病毒Conficker与Wannacry系列二者都属于比较活跃且感染面相对较大的。

前者主要利用了MS08-067后者主要利用MS17-010进行内外网的扩散，MS17-010涉及面相对较广广泛被挖矿勒索病毒用于横向传播，收获颇丰这个是真的猛。

解决建议：

这个解决办法是真的简单就是打补丁，有条件的可以自己搭建一个WSUS用于补丁的分发、或者自己写一个小脚本用于检测主机端的补丁安装情况。针对与一些服务器不方便重启的情况建议可以做好ACL策略或者端口封禁。

0×4 热点安全漏洞利用

客户普遍都认为内网是相对安全的，连接外网的服务一般也会重点关注。目前较多的worm类挖矿病毒与时俱进常常有很多Web漏洞的利用模块。

如最近360捕获的Psminer 基本上覆盖了Weblogic类、Redis未授权访问、ES类、ThinkPHP命令执行类、Spring命令执行类。

除非之外还有一些常见的Tomcat Manager弱密码、S2命令执行系列、Wordpress命令执行漏洞都是一些可以用于传播的漏洞。这一些漏洞的特别就在于简单高效，不需要提权什么的直接就是一个curl或者wget从互联网下载一个恶意脚本回来开始搞事情，windows调用Powershell一个downloadsrting开始搞事情。

无论是做为内网的突破口还是内网横向扩散使用，这一类高位漏洞都能发挥较好的效果。指不定很多刚刚入门的脚本小子练练手搞点EXP批量扫描，拿到了一个shell之后一个rm  -rf /* ,咱们后面又该怎么和领导去交代呢，估计第二天是不是都不用来上班了。

解决建议：

这一类安全漏洞是危险性比较强的，说不定就是导致内网瘫痪的一个入口。定期的跟踪热点的安全事件、安全测试上github收集各类POC回来验证，参考自动化测试那一套玩意做到内部安全风险自己评估。Ummmm….还涉及到一个问题谁去修复的问题？当然是谁开发谁负责，开发不修复怎么办，谁去做回归测试等问题参考如下：

0×5 安全意识与安全管理

安全意识这个属于老生长谈了无论说的怎么牛X感觉都是在自嗨，该点击的钓鱼邮件还是要点，说了很多遍不要安装来路不明的软件还是一样安装，不要打开来路不明的附件出于好奇看了看，弱密码一定会改的就从123456改成了12345678，最后发现电脑卡到不行CPU占用率90%，内存占用90%以上中了勒索挖矿就是安全工作没有做好。

每次遇见到这种情况，我也不知道怎么玩，除了本地装上EDR就不知道还能怎么玩了遇见免杀的Virus就呵呵了。

所以这个时候有个人背锅就很重要了，按照XXXX标准结合自己的实际场景搞一些简单的安全管理制度，大家看不看没有关系一定把责任要划分到人头，最好还能走正式的那种制度文档，批准人为：XXX领导。大概就差不多了。

解决建议：

定期抽查部分PC的终端防护软件、多培训多洗脑，多出一些制度。

0×6 安全运营

根据一些law的要求需要将日志保存到至少半年，搞一个简单的日志中心就十分的有必要了，购买第三方厂商或者自己搞个开源的都可以主要看领导给不给预算。

Logstash 主要是用来日志的搜集、分析、过滤日志的工具，支持大量的数据获取方式。一般工作方式为c/s架构，client端安装在需要收集日志的主机上，server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。

Kibana 也是一个开源和免费的工具，Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以帮助汇总、分析和搜索重要数据日志。

Filebeat隶属于Beats。目前Beats包含四种工具：

Packetbeat（搜集网络流量数据，溯源可能用得着）
Topbeat（搜集系统、进程和文件系统级别的 CPU 和内存使用情况等数据，检测挖矿神器）
Filebeat（搜集文件数据）
Winlogbeat（搜集 Windows 事件日志数据，检测暴力破解必备！！！）  

主要目的还是能够通过日志发现一些异常点，出了安全事件后方便溯源分析，根据对业务情况的熟悉可以自己写一些报警规则对于很多常规的暴力破解、异常登录都能做到准确的报警提醒。

0×7 总结

企业安全还是看资金投入只有领导愿意投入，预算管够直接就购买一些安全厂商的全家桶FW+IPS+IDS+WAF+SIEM+EDR+DLP+Scaner+Codereviewer+APTdetecter，剩下的就是一些运营工作了美滋滋毕竟是真金白银搞出来的。

最后吐槽一下热门的利用”驱动人生”升级通道的那个木马，各种不好查杀还经常变来变去已经被折磨的快吐血了，求大佬放过。

*本文原创作者：si1ence，本文属FreeBuf原创奖励计划，未经许可禁止转载