据广东省计算机信息网络安全协会通报,2018年9月2日,山东部分地区不动产登记系统突发勒索病毒事件,山东省国土资源专网受到影响,除了烟台市以外,还有其他地区同时收到了勒索病毒的攻击。
根据通告的情况可以得知,不动产登记业务无法正常办理,这种情况应该是核心数据库被加密了。至于为什么没有及时恢复应用,原因不明,有两点猜测,可能是等待进一步排查,将所有病毒及安全隐患清理完毕才会正式上线;另一可能数据库没有备份或者备份数据库也被加密,造成暂时无法正常使用。
此次勒索病毒对烟台市不动产登记业务造成了很严重的影响,导致全市不动产登记业务无法正常开展,影响了几乎全市的人民及相关法人组织,对他们的权益造成了特别严重损害,如果不动产登记系统长时间无法恢复或者最终数据产生丢失,将会对社会秩序造成严重损害。按照等保定级指南(GB/T 22240—2008),省及地级市的不动产登记系统应当定为三级系统,按照等保三级的相关要求进行安全保护。
此次勒索病毒在国土资源专网上爆发,也就是不少人认为安全的内网。网络安全翻译成英文有两种——Cyber Security和Network Security,这两者恰恰表达了网络安全是包括了外网边界安全和内网安全,内网不代表绝对的安全,也需要及时的开展网络安全防护的相关工作。
目前不动产登记系统是全国联网的,山东此次爆发,不排除有可能会扩展到全国各地的不动产系统,这将是一个灾难。
据悉此次攻击所用病毒为GlobeImposter3.0,今年8月份首次发现,其攻击手法极其丰富,可以通过社会工程,RDP爆破,恶意程序捆绑等方式进行传播,并且在进入内网后会进行多种方法获取登陆凭据并在内网横向传播,其加密的后缀名也不断变化,有:.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE、.ALC0、.ALC02、.ALC03、.RESERVE等。Globelmposter3.0采用RSA+AES算法进行标准加密,在没有私钥的情况下很难进行破解,所以存在以下问题的单位需要引起重视。
1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在公网上的单位。
2. 内网Windows终端、服务器使用相同或者少数几组口令。
3. Windows服务器、终端未部署或未及时更新安全加固和杀毒软件。
紧急处置方案
1、对于感染的服务器下线隔离。
2、对于未感染服务器:
1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。
2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。
3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
后续跟进方案请参考附件。
网络管理中心
2018年9月4日
