×

勒索事件处置溯源思路分享
  

杨童 7161

{{ttag.title}}
本帖最后由 杨童 于 2023-10-19 09:26 编辑

本案例基于一次实际勒索事件的处置总结编写而成,仅提供特定场景下的处置排查思路,不一定适用于所有场景的勒索事件处置,仅供参考

1、事件起始:获取到事件时要明确客户侧当前有哪些安全产品(用于问题处置和溯源),客户诉求(要明确客户对此事件的预期,对时间及结果层面做好预期管理)
        1.1、深信服技术支持团队收到一起勒索事件反馈,有客户内网遭到了勒索,当前已经对大部分主机进行了关机处理,但是客户侧反馈仍有扩散趋势,客户侧有多个我司安全产品(AF、EDR、AC、多个等保组件)
        1.2、当前客户诉求:全面排查,阻止勒索病毒扩散;协助进行溯源,确认病毒从何处进来;协助进行报告书写

-------------------------------------------------------------------------------------------------------------
2、一线人员确认的内容:
        2.1、明确事件影响范围:网络区域、主机数量
---可能因为客户对自己网络环境不了解,或者因为管辖权限无法明确主机内部状态,导致无法确认失陷主机数量,可能会影响到一线及后端支撑人员的判断,以本次事件处置为例,客户反馈是这几天都持续有终端失陷,但是到了现场排查后发现,其实所有主机的勒索都是同一天的几个小时内完成的,之后并没有再扩散到其他主机

        2.2、确认网络拓扑结构:从互联网出口到失陷主机之间的网络结构,中间有哪些安全设备,失陷主机之间的网络结构
---这里可能会因为客户对网络环境不了解,导致信息获取一直变化,需要有自己主观的判断,不能完全听客户的描述,一定要自行实际确认网络结构

        2.3、确认端口暴露面:确认是否有3389、22这种高危端口直接映射到公网的情况

        2.3、确认是否已经断网:一定要全网都断网,或者通过安全设备将网络区域、主机之间进行隔离,禁止一切东西南北向的通信访问

        2.4、确认EDR/杀软的使用情况:以本次事件为例,没有一台服务器安装了EDR,甚至普通杀软都没有,在事后总结报告时一定要强调杀软的重要性

        2.5、确认AF防护情况:
                2.5.1、确认AF规则库是否生效
                2.5.2、确认AF安全防护策略是否生效---是否针对失陷主机配置了漏洞防护策略,策略动作是否拒绝,以本次事件举例,AF的防护策略中漏洞防护配置的动作是允许,直接就导致了AF处于失效状态
                2.5.3、检查AF日志是否有安全事件---重点看漏洞防护类型的日志,是否有暴力破解的记录---这里需要注意,不要根据客户反馈的时间来查日志,因为客户可能也只是根据自己发现主机被勒索的时间来反馈的,并不知道真实的勒索事件发生时间,一定要先去终端确认勒索事件发生的时间,再根据终端勒索的时间查AF日志

-------------------------------------------------------------------------------------------------------------
三、被勒索主机本身可做的处置排查思路:
        3.1、通过显示器接到失陷主机获取如下信息
                3.1.1、被加密文件的文件修改时间---表示勒索事件发生时间,用于判断事件开始事件
                3.1.2、被加密文件的文件名后缀---判断属于什么类型的勒索,用于判断是否有解密方法,通过公开的情报库查询-https://edr.sangfor.com.cn/#/information/ransom_search
                3.1.3、检查勒索信---一般在桌面或者和被加密的文件附近,文件名一般为readme、info---用于勒索信息查询、溯源,其中一般都包含勒索者的邮箱或网站,可作为勒索家族的判断条件

        3.2、清除当前主机存在的勒索文件(注意是指发起加密行为的恶意文件,不是被加密的文件)及进程
                3.2.1、检查当前已失陷主机勒索行为是否还在进行---通过everything等工具搜索勒索文件名,将文件修改时间排序,看最新的文件修改时间是什么时候,这里的问题是如果everything软件已经被加密,或者通过U盘给电脑拷贝软件的时候U盘文件也立即被加密了该怎么办,这种情况就说明勒索行为还在继续,就需要先找到勒索的进程,先杀掉进程再往电脑拷贝文件
                3.2.2、关闭勒索进程---通过任务管理器查找异常进程,比如本次案例勒索的进程就是很明显的叫fast.exe
根据名字去情报社区查找,有很多关于此名字的勒索帖子,那基本可以断定这就是勒索进程
这时候不要着急结束进程,先右键单击该进程,打开文件位置,找到该进程的原始文件,再结束进程,结束后再删除该文件。然后将u盘插到主机测试一下文件是否还会被加密,如果已不加密则可以拷贝everything、火绒等离线工具到主机进行后续排查,如果还在加密,说明还是没有找到最关键的加密进程,则继续手动排查---伴随加密进程的可能还有其他的扫描爆破的进程,当前一线人员的目标是确保关闭加密进程即可,只要能往主机中拷入杀软或者溯源工具正常执行,剩下的恶意文件交给工具自动处置就行。
                3.2.3、临时病毒查杀,为避免影响后续溯源排查:通过火绒等可离线安装的杀软工具进行全盘扫描,切忌不要为了安装EDR就给主机连上了内网,一定要在离线状态消除本机存在的风险文件、进程,避免横向扩散,确保后续溯源排查工作不受影响,下图为查杀样例,杀软发现了在其他目录下也有fast.exe的文件,不止之前进程对应的一个fast.exe

-------------------------------------------------------------------------------------------------------------

4、事后勒索事件溯源思路:确认当前主机已无勒索加密行为,能够正常拷贝文件软件时,开始进行溯源工作
        4.1、溯源思路:勒索一般是攻击者拿到一台主机的权限然后横向扫描爆破,所以思路就是根据这些扫描爆破的攻击痕迹找到最先被拿下权限的设备,然后再根据这台主机查找被攻击的切入点
               4.1.1、检查失陷主机本身的日志,结合文件加密时间,看是否有远程登录的记录,检查这些记录的登录源IP,比如windows的安全日志,linux的log文件日志(攻击者可能会手动清除日志,导致查不到记录的情况,这时候需要看下设备是否有对结果日志审计,或者外发过syslog日志记录,可以查阅外部平台的记录作为佐证)
               4.1.2、检查安全设备,比如防火墙、态势感知,看是否有暴力破解,telnet、rdp、ssh等各种远程登录的行为记录
               4.1.3、如果失陷主机对接了日志审计设备,可以通过日审来看是否有远程登录的日志记录
               4.1.4、根据以上信息明确当前主机的攻击来源,如果日志中攻击者是来自公网IP,则在防火墙、态势感知、流量审计设备进行确认,看此公网IP是否有攻击成功过其他主机,同时进行封禁

        4.2、主机本身日志怎么查:
               4.2.1、winodws日志:开始菜单搜索事件查看器-windows日志-安全-筛选当前日志-事件ID筛选4624或4625,这两个代码表示windows登录成功或失败
件详情内有远程登录的信息,可根据此信息得出攻击者源IP
如果筛选不出来远程登录的日志,或者发现勒索事件发生的时间段没有日志,可以看下是否有日志清除记录,攻击者勒索之后可能会执行日志清除,这时在主机本身就不一定能获取到有价值的信息了;日志审计的重要性在此场景下就能体现了,如果对接了日审,可以借助日审查看日志。

               4.2.2、linux安全日志目录:/var/log/secure       如下图显示有ssh登录记录
操作日志:直接执行命令history直接看执行过的命令,或者直接看源文件,history命令读取的源文件在用户目录下的隐藏文件.bash_history


               4.2.3、溯源工具:通过脚本工具实现半自动化的检索日志,协助推测勒索源头,减轻一线排查工作量。在安服应急响应中心工具分发平台下载溯源工具https://www.msangfor.com/tools
以windows版本的工具举例效果如下图,在左上角输入勒索信的信息,工具就可以自动检索系统日志,得出攻击源猜测

-------------------------------------------------------------------------------------------------------------

5、最后输出溯源报告:报告核心内容如下
        5.1、问题根因:给出排查思路及证据,攻击者是谁,怎么攻进来的,进来之后做了什么,以主机日志、安全设备日志作为证据
       5.2、临时处置动作:溯源期间做过哪些安全策略调整、查杀动作等补救性措施
       5.3、整改及优化建议:
              5.3.1、业务访问优化建议:针对远程办公需求禁止直接映射3389、22等高危端口到公网,建议通过零信任、SSL VPN实现远程安全接入;
              5.3.2、强化访问控制:尽可能关闭服务器的远程登录端口;如必要开启一定要设置具备高复杂度的密码;定期修改密码;建议采用双因素认证等额外安全措施;使用EDR的远程登录二次认证功能;
              5.3.3及时更新和修补漏洞:定期更新操作系统、应用程序的版本;定期进行漏洞扫描,及时修复已知漏洞;
              5.3.4、网络分段隔离:将网络划分成多个安全区域,加强横向的网络访问控制策略,限制不同区域之间的通信,最小化横向渗透的风险;
              5.3.5、完善日志管理制度:利用日志审计等日志存储设备,及时备份主机日志,长时间留存日志,定期审查和分析日志,及时发现潜在攻击痕迹并及时采取措施应对;
              5.3.6、强化流量监测:利用流量分析、态势感知类监控设备监控全网流量,强化东西向流量的监控能力;
              5.3.7、数据备份:定期备份关键数据,并验证备份数据的完整性,建立可靠的离线备份存储;被勒索后可以利用备份数据快速恢复受影响的业务系统;
              5.3.8、建立多层防御机制:利用防火墙、入侵检测设备、反病毒软件等,形成多层次的安全防护体系。有效监控和阻断恶意行为;
              5.3.9、加强供应链安全:与供应商建立安全合作关系,确保其交付的硬件和软件产品是可信安全的,对业务供应链中的各个环节进行审查和监控,避免受到来自供应链方面切入的攻击;
              5.3.10:建立应急响应机制:制定完善的应急响应计划,包括预设步骤、责任分工和应急演练。在发生安全事件时,能够迅速应对和应急处理,最大限度地减少损失和影响

打赏鼓励作者,期待更多好文!

打赏
21人已打赏

乀糖果 发表于 2023-10-19 15:07
  
老弄low的赚s豆少呀!
小霞米 发表于 2023-10-19 23:08
  
每天学习一点新知识,谢谢分享
蔺嘉宾 发表于 2023-10-19 23:08
  
每天学习一点新知识,谢谢分享
朱墩2 发表于 2023-10-19 23:09
  
每天学习一点新知识,谢谢分享
唐三平 发表于 2023-10-19 23:09
  
每天学习一点新知识,谢谢分享
焱燚 发表于 2023-10-19 23:15
  
每天学习一点新知识,谢谢分享
蔺嘉宾 发表于 2023-10-19 23:15
  
每天学习一点新知识,谢谢分享
梦境人生 发表于 2023-10-19 23:15
  
每天学习一点新知识,谢谢分享
德德 发表于 2023-10-19 23:23
  
每天学习一点新知识,谢谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
干货满满
每日一问
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
安装部署配置
功能体验
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
每周精选
深信服技术支持平台
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

0
2
1

发帖

粉丝

关注

38
7
5

发帖

粉丝

关注

5
3
4

发帖

粉丝

关注

47
4
1

发帖

粉丝

关注

1
4
0

发帖

粉丝

关注

0
0
0

发帖

粉丝

关注

本版达人