三个脱敏案例：Q1 真事氛索现场

开年三个月，我们接到的勒索求助比去年下半年多了将近四成。大部吩祗业的 IT 掌管人第一反映是”我们防火墙很贵”，但现场一看，问题往往出在最幽微的那块木板。 **案例一：顺义某精密造作企业**，年前刚上了一套 MES 系统。攻击者通过该系统的默认 Tomcat 弱口令（admin/admin123）进入内网，用三天功夫摸清网络架构，周五放工前触发勒索。这个企业有意思的是，他们的表网防火墙战术其实很严格，但 MES 系统的治理后盾直接露出在办公网段，没有任何二次认证。加密产生时，工程师还在彻夜赶订单。 **案例二：海淀某软件公司**，规模不大但代码资产敏感。习染蹊径是市场部同事点了一封假装成客户询价的垂钓邮件，附件是带宏的 Excel。宏代码下载了 Cobalt Strike，攻击者花了两周功夫做内网窥伺，比及三月中旬才着手——选择这个功夫点是由于清明前财政刚打完款，账上有钱。这家公司后来复盘发现，域控治理员密码竟然和 user 域治理员密码齐全一致。 **案例三：东城某医疗机构**，数据库被勒索当晚，整个挂号系统瘫痪。初始入口是放射科的某台老旧工作站，终年不关机也不打补丁，刚好挂着 VNC 服务的 5900 端口。这个科室的护士长齐全不知路这台电脑连着内网，还以为是独立使用的”读片机”。 这三个案例有个共同点：都不是什么深邃攻击，都是已知风险。区别只是有没有人真的去看。

初始入侵蹊径：你的天堑可能比设想中薄

凭据我们 Q1 处置的事务统计，初始入侵排名前三的蹊径是：VPN 弱口令或爆破、垂钓邮件、以及露出在互联网的远程治理端口。 VPN 这个入口出格值得多说几句。好多企业买防火墙很舍得花钱，但 VPN 设备往往用的是出厂默认密码，或者 IT 治理员图省事用了幼我生日加单元的单一组合。攻击者不必要什么 0day，只有爆破成功，他拿到的是一个”合法”的内网入场券——防火墙日志里所有正常。 垂钓邮件这块，Q1 出现了一个显著趋向：攻击者越来越善于做”靶向垂钓”。不是群发那种一眼假的邮件，而是假装成老板、甲方、或者系统治理员，用真实的语气问你一个看似合理的问题。我们见过最离谱的一个案例，攻击者通过天眼查查到了指标公司的工商信息，而后注册了一个和官网域名只差一个字母的垂钓域名，发了一封”年度审计通知”给财政。 至于那些挂着 RDP 3389 或者 VNC 5900 直接露出在公网的老系统，我只能说你始终不知路哪个端口会成为噩梦的起点。医疗和造作业尤其严沉，由于这些行业的设备更新周期长，好多关键工控设备还在跑着十年前签的守护合同，系统商早就倒关了。 横向扩散这块，此刻主流勒索团伙的玩法已经不是”进来就加密”，而是先在内网埋伏几天到几周。手法通常是先抓本机密码，而后尝试 Pass-the-Hash 横向移动到域控。若是域管密码被拿到，根基上整个 AD 就是通明的——用户、机械、战术全数沦陷。我们 Q1 遇到的两个案例，攻击者拿到域管权限后第一件事不是加密，而是把 DHCP 服务器的配置拉走，先搞明显内网有哪些网段、哪些业务在跑，而后才起头着手。

应急响应 SOP：六幼时黄金窗口

勒索攻击从加密实现到舒展，通常有一个功夫窗口。这个窗口可能是两幼时，也可能是两成天——取决于企业网络架构的隔离水平和勒索家族的战术。梦想情况下，你应该在这段功夫内实现网络隔离。 PT电子游戏(试玩)官方网站-APP下载应急 SOP 大体分四个阶段，每个阶段有明确的功夫预期和查抄清单： 这里有几个坑出格想提一下。有企业客户一发现勒索，第一反映是连忙付赎金解密。我们见过最夸大的一个，从发现到付款不到四幼时，了局解密出来的数据有 30% 是败坏的，并且攻击者留了后门，一个月后又来了一次
；褂懈隹邮”以为隔离了但其实没隔离干净”——有些勒索会扫描内网 445 端口，若是你的互换机 VLAN 没划好，一台机械中了可能整个段都完了。 备份战术这块多说两句。我们 Q1 处置的几个客户，有备份但复原不了。为啥？由于备份服务器自身就是域成员，并且备份作业用的是域管权限跑的。攻击者进来第一件事就是把备份数据目录删掉，或者加密备份存储。这种”备份在统一个 AD 丛林里”的架构其实极度常见，也是最容易被忽视的风险点。真正的离线备份，应该是物理断网或者至少是独立认证系统。 最后聊聊那个须生常谈的问题：要不要上零信赖。岁首我们助一家做智能造作的企业部署了 sTrust 零信赖规划，主题诉求就是收敛远程接入入口。原来他们有五套分歧的 VPN 和远程桌面规划，治理混乱且凭证分散。上了零信赖之后，所有远程接见必须经过统一入口和设备认证，原来露出在公网的 3389、5900 端口全数下线。这家客户后来和我们说，感触”攻击面幼了好多”——这话朴素，但的确是真话。

勒索攻击的性质不是技术匹敌，是成本博弈。攻击者会反复测试你的幽微点，直到找到那个没人管的角落。与其相信”我们不会被盯上”，不如定期跑一次攻击面梳理，把那些被忘却的旧系统、老账号、盛劈头口当回事。我们建议企业至少每半年做一次 IT 资产的露出面审计，详情能够 参考PT电子游戏(试玩)官方网站-APP下载网络整包服务规划。