騰訊安全預警：黑客團伙借SSH弱密碼爆破攻擊 日均目標近十萬

一直以來，弱口令不僅是最易被不法黑客利用的漏洞之一，而且還是企業網路安全的一大症結。近日，騰訊安全服務中心接到客戶求助，稱部署的騰訊御界高階威脅檢測系統發現SSH伺服器失陷感知資訊，危急之下，該公司安全管理人員第一時間聯絡騰訊安全技術專家請求協助分析威脅來源，以防公司遭受財產經濟損失。

騰訊御界失陷感知資訊

徵得客戶同意後，騰訊安全技術專家結合御界的關鍵日誌，對客戶機器進行遠端取證，最終判定這是一起針對SSH伺服器弱口令爆破的攻擊事件。慶幸的是，由於發現及時，技術專家迅速協助客戶進行隔離與防毒操作，有效遏制作惡團伙進一步入侵，否則後果難以預料。

不法黑客利用SSH弱密碼爆破成功

可是，此次攻擊事件僅僅是不法黑客發動連環作惡的“冰山一角”。基於這一線索，騰訊安全御見威脅情報中心對此次事件展開調查，竟然發現這是一起專業的網路攻擊事件。該團伙對目標SSH伺服器曾進行多達4千次連線嘗試，最終爆破成功。得手後的攻擊者首先植入SSH後門以及IRCbot後門程式，並通過SSH弱口令在內網橫向傳播，迫使受害機器接收遠端指令安裝挖礦、DDoS攻擊模組，以此為下一步行動做足準備。

不法黑客嘗試登陸型別分佈

據騰訊安全技術專家介紹，該團伙使用的基礎設施主要集中分佈在俄羅斯、美國、法國、荷蘭、新加坡等多個國家及地區，攻擊目標同樣遍佈在世界各地。僅初步統計，該團伙的潛在攻擊目標每天約有十萬IP，截至目前已非法挖到近200個門羅幣，摺合人民幣約12萬元左右，對使用者資產安全造成巨大威脅。

縱觀全球網路安全環境，弱密碼爆破事件在世界範圍內已成幾何式增長。4月15日，國內某企業遭遇一起利用弱口令對企業SQL伺服器進行爆破攻擊事件。騰訊安全御見威脅情報中心對整個事件展開溯源調查後發現，該作惡團伙目前已成功入侵3700餘臺SQL伺服器，涉及到數百個中小型企業，獲得了這些企業伺服器的管理員許可權，在後臺下載執行門羅幣挖礦木馬。類似惡意攻擊事件給個人隱私保護、企業安全生產乃至經濟社會發展都可能帶來新的挑戰。

為避免此類不法黑客攻擊事件再次發生，騰訊安全反病毒實驗室負責人馬勁鬆提醒廣大企業網管務必高度重視安全防範工作，並提出三大安全防禦措施：建議使用安全的密碼策略和高強度密碼，以防不法黑客暴力破解；同時使用金鑰登陸，開啟SSH實時監聽本地內網IP，儘量不給伺服器外網IP；此外推薦全網部署騰訊御界高階威脅檢測系統，提前感知和有效抵禦漏洞攻擊，保護企業免受資料和財產損失。

騰訊御界高階威脅檢測系統

據瞭解，騰訊御界高階威脅檢測系統是基於騰訊安全反病毒實驗室的安全能力、依託騰訊在雲和端的海量資料，研發出的獨特威脅情報和惡意檢測模型系統。憑藉基於行為的防護和智慧模型兩大核心能力，騰訊御界可高效檢測未知威脅，並通過對企業內外網邊界處網路流量的分析，感知漏洞的利用和攻擊，全面防護企業網路系統及業務安全。