×

客户终端中了勒索病毒如何处置?分享我的看法
  

JCKJuyi 5417

{{ttag.title}}
本帖最后由 JCKJuyi 于 2024-9-6 17:49 编辑

1.已感染的用户,禁用网卡,同时拔掉机器的物理网线
2.如果同一网段有多台机器感染,可通过交换机进行断网。
3.已感染关键岗位电脑和重要服务器,立即关机,避免勒索病毒进一步加密所有文件。
4.整理感染机器列表,供后续处置。同时可以通过使用专业的工具来提取勒索病毒文件名、文件路径、文件大小、文件签名、md5值、进程路径和名称等特征,使用域控、单机或专业桌面管理工具等进行操作,迅速进行全网排查。对存在感染勒索病毒特征的机器,进行断网隔离,并删除勒索病毒文件和进程,同时持续监控是否继续感染,防止病毒的感染范围进一步扩大。
5.针对勒索病毒的特征,如后缀名,勒索信等指纹特征,尝试确定勒索病毒所属家族,并查找是否存在解密的可能性。
6.断网隔离被感染的机器,进行以下排查工作:
        一:查看系统信息:linux:lscpu、uname -a
                                    windows:msinfo32
        二:排查CPU的占用情况,检查是否有异常高占用的进程
                         linux:查看CPU占用率top -ef | more、top -S:累计显示进程的 CPU 使用时间、top -p [PID]:仅显示指定进程ID的信息
                         windows查看CPU占用率:Win+r进入运行栏,输入resmon进入资源监视器,即可查看CPU占用情况。勒索病毒可能会占用较多的CPU资源,我们进行CPU占用率排查可以帮助我们快速定位
        三:排查可疑进程:在成功入侵后,攻击者可以在计算机上开启专属的端口来访问被害主机或植入病毒,所以通过排查可疑端口能确定主机是否存在后门、是否被植入挖矿病毒等,再根据端口的PID对可疑进程对应的程序排查,确定是否为恶意程序
                          linux:ps -ef | more、定位进程:ps -ef | grep CMD
                          windows:netstat -ano | find “ESTABLISHED”、定位:tasklist | find “(PID)”
        四:对检查到的异常进程进行停止
                          linux:kill -9 PID
                          windows直接在资源监视器结束进程即可
        五:排查自启动项,自启动项是系统开机时在前台或者后台运行的程序,攻击者有可能通过自启动项使用病毒后门等实现持久化控制
                          linux:ls -alt/etc/init.d
                          windows:Win+r进入输入栏,输入taskschd.msc,调出任务计划程序。Win+r进入输入栏,输入powershell,进入powershell命令行页面,输入Get-ScheduledTask可以查看计划任务的路径,名称,状态。
        六:检查是否存在未知的计划任务
                          linux:crontab -l
                          windows:同⑤
        七:检查是否存在异常服务,异常服务是攻击者维持权限的常用手段,我们要重点注意服务状态和启动类型,检查是否有异常服务
                          linux:systemctl list-unit-files
                          windows:win+r调用出运行栏输入services.msc
        八:检查异常外连行为,检查是否存在高危端口的连接和与国外IP的连接
                          linux:netstat -tunIp
                          windows:netstat -ano
        九:检查是否存在未知特权用户或者隐藏用户
                          linux:cat /etc/passwd查看所有用户,输入命令 awk -F: '{if($3==0) print $1}' /etc/passwd  可查询可登录账户 UID 为0的账户,root是 UID为0的可登录账户,如果出现其他为 0 的账户,就要重点排查。命令行输入 cat /etc/passwd | grep '/bin/bash' 查看所有可登录用户。命令行输入 lastb可查看显示用户错误的登录列表,包括错误的登录方法、IP 地址、时间等。命令行输入 lastlog查看最后登录的日志信息。命令行输入 awk -F: 'length($2)==0 {print $1}' /etc/shadow如果有用户是空口令就会显示出来。
                          windows:wmic useraccount get name,SID查看系统中的用户信息.黑客创建的某些隐藏账户通过dos指令无法发现, 但是当我们查看注册表时就可以发现;通过注册表检查是否存在账户名为“xxx$”或修改注册表创建的隐藏账户,再检查是否存在可疑账户,并进行禁用。注册表路径:给SAM目录添加当前用户可读写属性HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names。同时,在此项下导出所有以 00000 开头的项,将所有导出的项与 000001F4 (该项对应Administrator用户)导出内容做比较,若其中的 F 值相同,则表示可能为克隆账户。
        十:日志审计
                          linux:日志默认存放位置:/var/log/。查看日志配置情况:more /etc/rsyslog.conf
定位有多少IP在爆破主机的root帐号:   
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破:grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
爆破用户名字典是什么:grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
登录成功的IP有哪些:grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more。
登录成功的日期、用户名、IP:grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
                          windows包含三种日志类型
系统日志:记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
默认:%SystemRoot%\System32\Winevt\Logs\System.evtx


应用程序日志:包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。
默认:%SystemRoot%\System32\Winevt\Logs\Application.evtx


安全日志:记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
默认:%SystemRoot%\System32\Winevt\Logs\Security.evtx


        十一:异常文件检查:
                          linux:
①、查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以“..”为名的文件夹具有隐藏属性
②、查找异常文件,可以使用find命令来查找,如 find /opt -iname "*" -atime 1 -type f 找出 /opt下,一天前访问过的文件
③、针对可疑文件可以使用stat filename查看文件的创建修改时间。
                          windows命令:查看最近修改的文件win+r进入运行栏,输入recent。在搜索栏输入 *.后缀 即可搜索
        十二:安装EDR
7.事后加固:
①.利用备份数据进行恢复:
根据遭受勒索病毒攻击影响相关设备数据备份的情况,按照数据恢复要求、备份日志,衡量数据恢复时间成本、数据重要程度,确认数据恢复范围、顺序及备份数据版本,利用离线、异地、云端等备份数据恢复。
②.恢复感染设备正常使用:
感染勒索病毒设备再次投入使用的,在采取磁盘格式化、系统重装、删除可疑文件和程序、消除勒索信息和加密文件等措施的情况下,避免二次感染勒索病毒,再恢复设备正常使用。
③.进行完整的溯源:
通过对攻击的完整溯源,可以帮助企业发现存在的薄弱点,及时加以修复,同时也可以帮助企业发现攻击者的行为模式和特点,帮助企业形成立体的网络安全防线,从而提高对未来攻击的预警能力。
④.加强网络安全隐患修补:
在消除勒索病毒攻击影响的情况下,开展网络安全隐患排查和修补。例如,在权限管理方面,重点排查弱口令、账户权限、口令更新和共用等问题;在漏洞修补方面,及时更新系统、软件、硬件等漏洞补丁;在暴露面梳理方面,检查本企业在互联网上的暴露面,检查是否存在暴露的高危端口如(21,22,135,139,445等)。
⑤.加强终端安全防护:
确保终端设备和服务器上安装了有效的防病毒软件和EDR功能模块 ,防病毒软件可以扫描系统和文件,有效防止恶意文件落地;EDR可以更有效的防护恶意文件攻击、漏洞攻击,有效阻断安全威胁,同时会产生流量走向、内存活动、帐户信息以及异常操作等风险告警,帮助安全团队快速定位威胁和溯源入口。   
⑥.构建内网威胁发现能力:
通过诱捕机制及时感知到恶意文件在内网无威胁探测阶段的异常行为,并进行预警,通过快速响应能够最大限度的减少甚至避免恶意文件对内部服务器造成的影响。

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

平凡的小网工 发表于 2024-9-20 23:36
  
多谢分享勒索病毒的处理经验,学习了。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人