勒索事件
客户在2020年6月份发现AD服务器与部分办公电脑感染勒索病毒,导致员工无法正常办公。
处理过程
在接到客户反馈的问题后,我们第一时间要求客户在防火墙关闭对外高危端口,所有域管理员修改强密码,收集主机安全日志,关闭已感染主机,同时排查内网其他主机有无感染勒索病毒。我们在有限的日志中分析出了黑客的攻击链并对攻击时间线进行了完整的复盘。在内网部署了一台Palo Alto防火墙对横向流量进行监控,分析内网高危流量,在确保问题已经完全得到处置后告知客户恢复业务。
处理结果
事件处理完成后,我们给出了加固改进建议:1、关闭所有机器到互联网高危端口的映射。2、更改所有受感染的机器的管理员密码,所有域管理员的密码改掉。3、检查受感染的机器上是否有可疑的管理员账号,并停用。4、阻止所有服务器到互联网的主动连接。5、阻止所有远程工具的流量。