×

FuJun 发表于 2024-6-9 10:57
  
非常好的实践教程,谢谢分享
【原创分享】驱动人生植入Matrix勒索病毒应急响应处置实战分享
  

朱容成51537 79464人觉得有帮助

{{ttag.title}}
“当前已有100+用户参与分享,共计发放奖励60000+“


1.  事件背景
某企业客户重要业务系统中了勒索病毒,重要,导致生产全面瘫痪,需要找到设备受到感染原因,抑制病毒扩散。

2.  事件排查
服务器排查
登录服务器(***)后,服务器的文件全部被加密成了.MDEN后缀结尾的加密文件,无法打开。如下图。


后缀MDEN的勒索病毒确认为某公司勒索病毒PRCP变种,该勒索病毒变种主要通过RDP爆破进行传播,会扫描局域网内主机,会加密局域网共享目录文件夹下的文件,勒索病毒的勒索信息如下,



登录服务器下载安全日志,使用Notepad++查看,发现服务器存在大量暴力破解记录,并暴力破解成功。攻击源IP为内网地址***




登录***,使用ProcessHacker查看进程,发现powershell进程正在大量通过445端口暴力破解内网中一台服务器。



查看powershell属性,查看commendline被注入了一段恶意代码,进程会主动访问代码中的未知域名



通过微步检测代码中的域名为驱动人生后门,部分受感染的主机上会利用 vbs 以及powershell 脚本执行相关病毒组件,通过脚本执行,从 公网下载更新自身病毒文件,并通过此肉鸡扫描内网定向爆破内网服务器植入勒索病毒。



使用Autoruns查看启动项,查找到如下进程被植入恶意代码




在任务计划中查看此启动项的代码为唤醒植入powershell扫描程序并保持病毒更新,出发时间在2019517日,每隔1小时更新一次



清除植入的恶意代码或使用某公司的驱动人生专杀工具进行查杀,查杀完成后重启电脑恢复正常


3.  系统中存在安全隐患
客户机开放了135、445、3389等高危端口





4.  安全加固和改进建议
1、重新安装操作系统。
2、建议关闭135,137,139,445等高危端口。
3、 重装服务器之后修改管理员密码,确保密码复杂度,建议使用VPN登录3389远程登录。
4、 安装终端杀毒软件。
5、 数据备份,对重要的数据文件定期进行非本地备份
6、 安全意识宣传,不使用不明来历的U盘、移动硬盘等存储设备;不要点击来源不明的邮件以及附件;不接入公共网络也不允许内部网络接入来历不明外网PC。
7、 建议部署安全感知平台(可以发现内网哪些主机感染勒索病毒以及勒索病毒变种)发现更多威胁。

打赏鼓励作者,期待更多好文!

打赏
9人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人