客户感染Ransomeware, 陆续发现有多达40台左右PC及5台Server

2020年真实个案分享

Server 及Workstation 被感染：

Server 包括(Web Server “Win7” ), (Design Server “Win7”), (SAP Server {Domain controller AD} “Win08r2”), (File

Server Win08r2) 以及尖沙咀数台Server及1台主管电脑(CRM “Win7”)，所有连接在Server上的外置硬碟备份都被加

密而无法使用。

被感染电脑均装有防毒软件ESET Endpoint Antivirus, 当时发现所有防毒已被强行关闭，同时网络上仍发现有大量攻

击封包由Web Server发出。

根据数据分析后，导致这次安全事故的原因主要是以下几点：

没有使用VPN连接

因疫情影响下紧急启动在家工作模式，由于在开业时当时的网络已使用了192.168.1.0/24 这个非常普遍

的网段，这网段会很大机会与家中的网络冲突，影响设置VPN client to site 模式而无法连接公司网络，由于时间紧

迫，最后选择了较为方便但安全性较差的方案，直接从外部网络转接到公司各自的PC上工作，但VPN我们认为不

是这次安全事故最主要原因。

# 解决方案

所有需要在家工作的同事必须使用以下的方法连到公司网络：

已设置SSL VPN服务，数据传输以SHA512 RSA / RSA (4096 bit) 级别加密，

并且必须以个人数码证书及个人密码，及2 Factor Authentication (2 FA 多重要素验证) "Google Authentication Apps (每30秒更新一次动态密码)" , 才能登入公司网络。(每组登入只能允许同时间一个终端使用”PC, Laptop, Mobile”)

家中电脑必先安装有效防毒软件(密码保护) 及防火墙软件(密码保护)，扫瞄后确定没病毒，黑客威胁(如没有有效防毒软件，我们会安装Check Point 旗下的网络安全产品), 以及完成最新Windows Update。

3389 port

主要受到大规模感染的主因是内部电脑开启了3389 (MS RDP) port 而在防毒软件被强行关闭后，勒索软件病毒在

LAN网络短时间大量散播。

# 解决方案

- 全面WAN, LAN, VPN禁止使用135, 139, 3389端口，可避免部份网络攻击

Web Server 漏动

当时由于Web Server 仍用Win7旧系统以及多个网站已开发多年，没有定期做程式安全漏动修补，导致黑客容易入

侵到Web Server以至整个公司网络。

# 解决方案

- 采用Web Hosting服务，可隔离较高的网络风险漏动

密码管理

禁止使用Administrator作为最高权限级别的使用者名称，Domain Admins Password 及防毒系统需设置不相同密

码，定期在不多于60天内更改新密码。

软件供应商及外部连接

除了企业的系统及员工外，确保与公司合作的软件供应商制定健全的网络安全措施及政策，确保攻击者无法利用漏

洞入侵企业网络。

# 解决方案

不使用80 port http:// 作为登入，改为https:// 安全连接；

只允许供应商固定IP连接及有限度开启必要服务的端口；

定期更新不再支援的软件。

淘汰旧作业系统及升级软件

# 解决方案

所有作业系统及office软件应升级到Windows Server 2016, Windows 10及Office 2016或以上版本。

备份及虚拟化系统

除了Design Server 外, 所有Server已设换至VM，可防止Ransomeware 直接加密Server (此次攻击没影响到Email

及HR Server 就是使用了VM作为系统) ；

- 启用Volume shadow copy service

- 每天深夜定时本机备份系统，并保留7到14天的回复点(1. Veeam Backup, 2. Veeam replication, 3. Windows

Server Backup, 4. Robocopy )；

- 每天在备份时间以外，会把备份磁碟机强行离线，以免备份被加密软件及删改；

- 每天Admin Dept. 3位同事会收到备份电邮报告，报告能简易得知每天的备份状况；

- 新增使用第二份本机备份，把现有备份复杂一份作为备用；

- 部署云备份系统，把现有备份定期更新到数据中心备份系统上。

更新路由器为次世代防火墙(NG-Firewall)

公司所有工作点，更换为次世代防火墙(NG-Firewall)，并运作入侵侦测系统(IDS)，入侵防护系统(IPS)，及严格不

允许使用预设的RDP 3389 Port

- 每星期定时更新(NG-Firewall) 的网络安全更新，系统模组更新及检查系统及硬件及网络健康情况

Block Malware Activity

Block Phishing Servers

Block Spam sites

Block Hacking Sites

Block Parked Domains

Block Potentially Dangerous Sites

Block Firstly Seen Sites

Block Undecided Not Safe Sites

Block Undecided Safe Sites

另以下一些需要收费的网络保安服务项目

Block Recent Malware/Phishing/Virus Outbreaks

Block Proxy

Block Dead Sites

Block Dynamic DNS Sites

Block Local IP

Block Newly Registered Sites

Block Newly Recovered Sites

- 还有其他收费功能，如过滤成人，不合法网、寻找工作网，一些与工作没关系及高危的网站类别，如过滤了正常使用的网站可在行政部申请开通。

升级所有交换机为可网管型交换机

除了必要的外部网络防御以外，内部网络安全也不能忽视，定期及有效的系统监察及封锁一些风险端口，可减低被连锁攻击的机会。人员风险

员工既是企业最薄弱的环节，但同时也是企业最大的防线。

可定期发布内部电邮提醒员工避免浏览一些有威胁的网络、分辨可疑的电邮，不要使用破解软件及被破解软件，并提高员工对网络安全的知识。

如有任何有关网络安全问题，欢迎与我们联络，为贵公司制定最合适的解决方案。

网络安全检讨及解决方案