案例分享-某企業內部潛藏中毒主機,企圖橫向感染重要伺服器以及暴力破解嘗試入侵NAS網路儲存伺服器
某企業內部潛藏中毒主機,企圖橫向感染重要伺服器
以及暴力破解嘗試入侵NAS網路儲存伺服器
一、案例故事
某企業客戶於某連假下午發生內部中毒主機意圖橫向感染其他主機,該台中毒主機對目的設備192.168.0.x【防火牆】和192.168.0.x【NAS】進行掃描探測,其目的是為瞭解該設備開啟哪些通訊埠,中毒主機不僅對重要設備進行入侵探測行為,也對NAS進行暴力破解,該企業藉由「雲智維資訊顧問代管代維方案」主動找出企業潛藏的零號感染者,成功預防資安事件擴大。
二、解決方法
使用「雲智維資訊顧問代管代維方案」,收集客戶單位中各種網路設備syslog、資安設備syslog、Flow及SNMP,從各式數據搭配AI即時分析,從中查找出重要的關鍵數據,找出客戶內部環境網路、資安問題所在。
該企業使用「雲智維資訊顧問代管代維方案」,從該企業所收集到的流量數據發現到該台中毒主機不僅對192.168.0.x【防火牆】和192.168.0.x【NAS】進行大量掃描探測行為,也在掃描後對NAS進行帳號猜測。
 |
| 中毒主機惡意掃描入侵行為 - 掃描防火牆和NAS |
 |
| 中毒主機暴力破解行為 - 暴力破解NAS |
建議改善措施:
- 隔離該台中毒主機並評估重新安裝。
- 如因業務需求,無法立即重新安裝該台中毒主機,則建議進行防毒軟體掃描作業,並啟用備援設備,於啟用後立即重新安裝中毒主機。
三、結論
該企業使用「雲智維資訊顧問代管代維方案」,發生異常事件時,可以幫助企業主動發現事件,核心業務辦公室潛藏中毒主機並於連假期間對內部重要設備發動入侵探測行為,於掃描後開始進行橫向感染,其中毒主機主要嘗試入侵之設備為NAS和防火牆,使用「雲智維資訊顧問代管代維方案」,能夠主動幫企業找出問題點所在,並給予企業相關建議,而該企業逐步進行處理後,將此主機進行處置,成功預防內部資安事件擴大。
