案例分享 - 某企業專業IDC機房VPN用戶帳號密碼外洩導致合法入侵VPN服務並進到內網
某企業專業IDC機房VPN用戶帳號密碼外洩導致合法入侵VPN服務並進到內網
一、案例故事
某企業客戶於某日晚上10至凌晨1點在專業IDC機房中的VPN設備遭到駭客入侵,其駭客透過某一帳號成功登入VPN,取得授權後的攻擊者,利用VPN連線發起對內部OA網段、IT人員主機和網路設備以及DNS伺服器的大量掃描探測行為,其意圖橫向感染內部重要設備,該企業藉由「雲智維資訊顧問代管代維方案」主動找出企業內部資安問題,成功預防資安事件擴大。
二、解決方案
使用「雲智維資訊顧問代管代維方案」,收集客戶單位中各種網路設備syslog、資安設備syslog、Flow及SNMP,從各式數據搭配AI即時分析,從中查找出重要的關鍵數據,找出客戶內部環境網路、資安問題所在。
該企業使用「雲智維資訊顧問代管代維方案」,從該企業所收集到的流量數據發現到來源106.15.204.186【來源國家:CN(中國)】透過某一帳號成功登入VPN設備。
 |
| 攻擊者成功登入取得授權 |
攻擊者取得授權後,透過VPN連線發起對內部OA網段、IT人員主機和網路設備以及DNS伺服器的大量掃描探測行為,其掃描通訊埠包含22、3389、445、135、137、139和53。
 |
| 攻擊者掃描DNS伺服器 |
 |
| 攻擊者掃描OA網段 |
 |
| 攻擊者掃描OA網段 |
建議措施:
1.貴公司VPN帳號已被駭客成功登入,故建議立即停用該帳號。
2.應逐一協助內部使用者更換VPN帳號之密碼並且評估適當之密碼複雜度以及長度。
3.IDC機房之防火牆應重新檢視政策,將其權限最小化。
4.未來VPN可適當規劃MFA方式,強化使用者連線後的多重認證。
三、結論
該企業使用「雲智維資訊顧問代管代維方案」,發生異常事件時,可以幫助企業主動發現事件,發現到IDC機房內部的VPN設備遭到駭客成功登入,對其他主機進行大量掃描行為,並嘗試遠端連線至內部其他重要資安設備、網路設備,說明該主機已經成為駭客所操控的主機之一,且嘗試想要橫向攻擊至內部其他主機,使用「雲智維資訊顧問代管代維方案」,能夠主動幫企業找出問題點所在,並給予企業相關建議,而該企業逐步進行處理後,將此主機進行處置,成功預防內部資安事件擴大。
