×

【安全服务】应急响应-诡异的蓝屏
  

弓长先生丶 56751人觉得有帮助

{{ttag.title}}
记上周客户突如其来的电话,反馈几台核心服务器在间隔半小时陆续蓝屏,管理人觉得是系统问题,但经过溯源发现此次蓝屏另有猫腻;

一、应急现场概述
1.1、网络拓扑信息
防火墙-防毒墙-核心-服务器防火墙-服务器;
VPN、堡垒机
1.2、攻击现场环境
操作系统:Windows server 2008
应用类型:数据库系统
1.3、客户问题描述
  
主机ip/域名
  
1**.168.188.199、1**.168.100.1-3
入侵主机情况描述
服务器被植入挖矿病毒,系统资源耗尽、业务卡慢、蓝屏
主要用途及应用
数据库系统
行为表现
4台服务器接近同时间蓝屏
安全防护措施
卡巴斯基杀毒


存在四台核心服务器蓝屏,并且时间相近,重启后疑似恢复正常。

1.4、事件处置结果
  
问题综述
  
4台服务器被植入驱动人生病毒,伪装成svchost进程,主机长时间执行高性能计算,浪费网络带宽,CPU和内存占用较高,不能及时处理用户的正常请求。
  
处置结果
  
1.此次挖矿病毒为最新的驱动人生病毒。  
2.
回溯“驱动人生”病毒事件。
  
遗留内容
  
1.全部服务器开放33892.服务器存在弱口令。3. 主机永恒之蓝补丁未打

第二章、事件排查过程
1.1、异常现象确认
服务器被植入挖矿病毒,中了驱动人生病毒变种木马的主机,会运行一个伪装的svchost进程,该父进程会接着创建进程taskmgr、svchost以及cmd,其中taskmgr为挖矿进程。同时主机长时间执行高性能计算,浪费网络带宽,CPU和内存占用较高,不能及时处理用户的正常请求或任务增加电力消耗, 本次中挖矿病毒目前发现的有四台主机,下面会进行分析。
1.2、溯源分析过程
查看服务器蓝屏时间,判断服务器被入侵的时间为5月11号12:05:10:
通过分析系统日志得出,造成被入侵的原因是该主机被爆破,并在11:08:13时被登录并植入勒索病毒:
并且通过技术手段检测,该主机被植入挖矿“驱动人生”病毒,并且该主机未及时更新系统化补丁,导致存在严重系统漏洞补丁,具体漏洞编号为MS17-010。

同样的,该主机上的“驱动人生”变种病毒也会利用MS17-010进行内网扩散,对内网所有的主机进行漏洞扫描及漏洞攻击行为,并不断扩散功能攻击流程如下:


2.3、处置方案:
1、由于“驱动人生”病毒会自动隐藏以及再生,利用驱动人生专用工具Process Hacker(系统进程管理和内存编辑器)进行系统任务进程的检查。
2、  结束“驱动人生”病毒相关特征的进程(伪装的svchost进程,该父进程会接着创建进程taskmgr、svchost以及cmd,其中taskmgr为挖矿进程)
3、  并找到相关的文件根目录由于存在普通权限无法删除病毒,将利用PCHunter对病毒进行强删除。
4、  继续检查计划任务、启动项,找到“驱动人生”的计划任务,并删除。


5、  杀毒软件进行全盘查杀确保不存在遗漏。

第三章、应急响应事件结论
   四台主机蓝屏的时间为5月12号12:15,该主机被大量爆破。并在08:29:31时被主机登录。经过分析该主机存在开放3389远程桌面,并且存在弱口令。病毒感染方式为:永恒之蓝攻击、SMB爆破、PSEXEC与ANCHNEG执行、MSSQL爆破攻击,持续化攻击通过创建服务、创建任务计划、创建启动项run、创建管理员账号。该变种会利用上述系统漏洞对内网所有主机进行漏洞攻击。
第四章、存在的威胁
4.1、安全意识问题
1.对内网安全不够重视,未充分考虑内网安全,导致挖矿病毒在内网肆意扩散。
2.对于内网主机的安全性不够重视,内网主机存在弱口令,口令一致等。
4.2、终端安全
1.主机上未及时更改密码,并存在多余服务应用。
2.主机未及时更新系统补丁,如MS17-010;
3.内网未部署漏洞扫描工具,无法得知哪些主机存在漏洞未修复等安全隐患。

第五章、安全加固和改进建议
5.1、系统加固建议

账号安全
1.密码复杂度 - 最短密码长度要求八个字符,密码含有数字、大小写英文字母和特殊字符。
2.禁用Guest账号,禁用或删除其他无用账号。
3.禁用**istrator账号,为跳板机用户专门设置新的账号。
4.账号尝试登陆5次后将该账号进行封锁半小时不运行登陆的禁令。

系统安全
1.操作系统补丁管理 - 安装最新的操作系统Hotfix补丁。安装补丁时应对服务器系统进行兼容性测试。
2.限制远程登陆空闲断开时间 - 对于远程登陆的账号,设置不活动超过时间15分钟自动断开连接。
3.防病毒管理 - 安装企业级防病毒软件,并开启病毒库更新及实时防御功能。
4.服务安全 - 禁用TCP/IP上的NetBIOS协议,可以关闭监听的UDP137、UDP 138、以及TCP139端口。
5.共享文件夹及访问权限 - 非域环境中,关闭Windows硬盘默认共享,C$,D$。
6.跳板机机器的远程连接端口不对公网进行开放

5.2、产品加固建议
1.缺少内网安全监控产品, 未对主机的攻击流量进行监控,无法预知或发现安全隐患;
2.缺少漏洞扫描设备,未定期对内网环境进行漏洞扫描,未能及时修复漏洞,造成病毒肆意传播。
3.缺少针对驱动人生这类病毒有效的终端杀毒建议上EDR联动防火墙,达到闭环效果。

141545ec13e31e797e.png (1.11 MB, 下载次数: 196)

141545ec13e31e797e.png

9590160ba4725c73d2.png (168.36 KB, 下载次数: 181)

9590160ba4725c73d2.png

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

北京大飞哥 发表于 2020-5-22 15:08
  
感谢分享。内容很有深度,加入了很多自己的思考。“驱动人生”在去年很是火爆,楼主描述的场景也很典型,根据蓝屏的现象,进行溯源,给读者反向的介绍“驱动人生”病毒的传播过程。不过有一点小建议希望楼主能够采纳:在排查过程中需要工具的时候,可以把工具简单介绍一下,比如查看任务计划的AutoRuns,这样对读者的学习有好处。
PS:Process Hacker这个工具不是针对“驱动人生”的哈,他也是一个普通的应急工具。
未卜 发表于 2020-5-22 18:35
  
感谢楼主分享,从整个应急流程来看,通过对事件排查,系统日志定位入侵原因,进而通过进程定位具体病毒。整体思路值得大家学习和借鉴。同样我们可以发现大多数的威胁基本都是源自自身的脆弱性和对应漏洞对外开放造成的。所以还是要对自身做好相关加固,防患于未然。
新手490344 发表于 2020-10-15 16:14
  
谢谢楼主分享满满的干货
新手950886 发表于 2020-5-31 09:16
  
#今日打卡计划# 我今天的某公司是学习技术博客的【安全服务】应急响应-诡异的蓝屏
暖暖的毛毛 发表于 2020-5-29 12:52
  
学习一下,多谢分享
暖暖的毛毛 发表于 2020-5-28 08:36
  
感谢您的分享,满满的干货
zwangxin 发表于 2020-5-25 08:14
  
都被检测到了。杀毒软件不应该自动杀掉吗?
先生你好 发表于 2020-5-24 21:05
  
安服高手,佩服
卢冰 发表于 2020-5-23 10:55
  
收藏学习,以后遇到相同情况可以参考去处理
ylws 发表于 2020-5-23 03:42
  
感谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人