弱口令分秒扫描、基线合规核查，以“弱”制强两招致胜

去年元旦前夕，亚信安全网络威胁服务部（NTS）收到了用户提交的病毒案件：多台设备于27日晚感染了勒索病毒。

亚信安全的技术专家展开调查与处置，验定总部4台服务器、3台终端设备，以及分部4台服务器受到感染，加密文件后缀为mkp，初步分析属于makop勒索家族。亚信安全展开整个攻击事件的溯源分析：

• 通过分析总部服务器系统日志，亚信安全专家发现勒索加密时间附近，存在RDP远程登陆，经确认是来自分部的某台服务器；

• 在查看分部服务器的系统日志，发现了大量的清除事件以及登录失败事件，从而确认锁定攻击者在27日22:30成功登录了失陷服务器，之后投放勒索病毒并清除了相关日志；

• 再进一步回溯，发现27日之前的系统日志中已经出现几条可疑的远程登陆记录，经确认其中部分远程地址来自勒索攻击相关的IP源，从而锁定了攻击源；

最终可以确定的是，此次攻击事件中，分部服务器是最先受到攻击并失陷的，攻击者RDP登陆服务器，使用内网扫描工具并放置勒索病毒。由于分部的部分设备与失陷服务器使用了同一个系列的口令密码（存在网络共享），难逃被加密的劫难；不仅如此，总部的4服务器也是因为同样的问题惨遭毒手。

无论“强与弱”，弱口令的检查与管理其实是企业安全运营中最为关键、基础的环节，尤其是对于事前预防而言更是重要。做好弱口令扫描和安全基线的核查两大工作，能够快速高效的对企业环境中的Windows、Linux、服务器、云主机等进行账号口令的安全检查，及时发现账号口令的安全风险。

弱口令扫描 -1秒内完成，业务：刚刚发生了什么？

目前，亚信安全的信端终端安全产品，以及信舱云主机安全产品都具有弱口令扫描以及安全基线核查的功能模块。其中系统弱口令扫描功能，是将弱口令字典中的口令按照Windows、Linux系统口令的加密算法计算哈希密文，然后和系统注册表或者Shadow文件中的密文进行比对。该扫描算法资源占用低、耗时短，一般内置的5000条弱口令在Windows系统里能够1秒内完成，Linux系统可在1分钟内完成，完全做到业务无感。其他数据库与Web应用的弱口令实现机制各有不同，均经过测试，能够确保不会影响正常业务，快速高效的完成常态化弱口令检测。

弱口令库内置超过5000条，可通过在线库更新的方式定期更新内置弱口令库，快速精准地检测企业环境中的弱密码。同时还支持自定义账号库和口令库，支持最多10个字典库文件，单个文件不超过50kb的弱口令字典文件上传，用户可根据需求，在界面上灵活选择并使用字典文件。

安全基线核查 – 等保二等保三安全基线对口令安全的合规检查

亚信安全信端终端安全产品，以及信舱云安全产品DeepSecurity均提供了强大的基线检查能力，能够对根据二级等保、三级等保等要求对主机进行统一扫描，支持检测操作系统的账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置，并提供检测结果，针对存在的风险配置给出加固建议。

Windows主机账号口令配置合规检查

Linux主机账号口令配置合规检查