×

勒索病毒应急处置分享
  

TravelNight 59874人觉得有帮助

{{ttag.title}}
勒索病毒应急处置分享
by:travelnight
一、 常见的勒索病毒
什么是勒索病毒?
勒索病毒在感染主机之后,会在主机上运行勒索程序,遍历本地所有磁盘指定类型文件进行加密操作,加密后文件无法读取。然后生成勒索通知,要求受害者在规定时间内支付一定价值的比特币才能恢复数据,否则会被销毁数据。比较有名就是17年5月份的wannacry了。比较有名的还有globelmposter,gradcrab等等。
wannacry
globelmposter
二、 勒索病毒的主要传播方式
1.    蠕虫传播
勒索病毒利用系统漏洞(如:ms17-010)进行攻击,病毒利用系统漏洞传播。典型例子:wannacry,satan。
如图:手动利用永恒之蓝漏洞上传勒索病毒并且执行。
2.    口令爆破
攻击者对服务器进行RDP,SSH,SMB爆破等方式获取系统用户密码,然后远程投放执行勒索病毒。目前大部分勒索病毒主要是通过此种方式进行传播。典型例子:globelmposter,crysis。
3.    钓鱼邮件
攻击者通过给受害者发送钓鱼邮件,通过隐藏邮件附件的后缀名等方式,诱骗收件人下载点击伪装成正常文件的勒索病毒进行攻击,也是勒索病毒主要的传播方式之一。典型例子:GandCrab。
三、 处置流程
在应急响应方面,有一个比较成熟PDCERF模型:
1.    PreParation准备:是安全事件响应的第一个阶段,指在事件真正发生前为事件响应做好准备。比如提前做好系统备份,提前做好ACL。也指在安全事件发生时所需要收集的一些信息(系统类型,病毒类型,问题现象等)。
2.    Detection诊断:对系统的问题进行诊断,判断出病毒的类型和攻击方式。
3.    Containment抑制:也可以说是阻断,避免事件进一步升级。
4.    Eradication根除:封堵攻击者的源头,判断黑客攻击者的攻击方式,利用了什么漏洞,在服务器中做了什么。
5.    Recovery恢复和跟踪:对业务进行恢复,和对服务器进行监控,编写应急报告。
6.    Follow跟踪:回顾并整合应急响应事件过程的相关信息,给出整改措施并且持续跟踪。
针对勒索病毒的应急,我们的排查也可以基于以上这个模型,当然中了勒索病毒还是比较特殊的,第一时间还是先对所有中毒主机进行断网处理。
   
四、准备与诊断阶段
在这个阶段我们主要做一些信息收集方面的一些准备工作,收集的内容主要有:服务器的系统信息,中毒现象,勒索的提示页面,文件的加密后缀,中毒的服务器范围,是否是关键生产业务,是否有备份,日志是否完整,服务器区域之间是否有ACL或者安全设备等。收集服务器信息有助于我们了解服务器可能存在哪些漏洞可能被勒索病毒利用。
1.    systeminfo命令收集服务器的补丁信息:
举例:如果server2008服务器或者win7电脑没有安装kb4012212这个补丁,那么就有可能受到利用恒之蓝漏洞传播的病毒攻击。
2.    收集服务器勒索提示信息,每个勒索病毒家族都会有自己独特的勒索提示页面,这个经验丰富的人一眼就可以看出这个勒索提示页面大概是什么家族,新手也可以去比对网上的一些公开资料,在了解了勒索病毒家族之后我们就可以去找对应的病毒分析资料,了解其传播方式,方便我们后续的预防和溯源。
这里推荐一个文章链接,上面有近期热门的勒索病毒介绍:
globelmposter
3.    收集文件加密后缀以及文件加密时间。利用文件加密后缀可以帮助我们查找勒索病毒的家族,收集文件的最近加密时间,我们可以判断出服务器的中毒时间,有助于我们的进一步溯源。
勒索病毒后缀查询:
五、抑制阶段
前面说了中了勒索病毒第一时间是断网,在我们了解了勒索病毒的家族和传播方式之后我们可以进一步的处置。如会用MS17-010漏洞进行传播的,我们可以封堵445端口进行抑制并打补丁,如果是RDP暴力破解的,及时限制远程端口的使用。
我们还需要检查中毒主机上是否存在残留的勒索病毒,可以使用一些杀毒工具对主机进行全盘查杀。这里我们需要对发现的所有病毒进行核查,有的勒索病毒是进行过免杀处理,扫描出来很有可能是个低危的文件,我们就放过了。
这个显示是个中危,实际上是globelmposter最新变种。
发现的可疑文件可以放到沙箱里面去跑一下,可以看到存在勒索行为。常用的沙箱有:微步,腾讯哈珀等。


如果有必要还可以检查windows 的启动项,可以参考我上一篇关于挖矿病毒的文章,这里就不再赘述了。

六、 溯源分析与跟踪阶段
1. 这里我们主要针对的是RDP,SMB相关的日志进行分析,如果病毒通过漏洞利用方式传播,那很有可能没有对应的日志,这就需要借助态势感知或者IDS设备进行分析了。

2. 使用everything工具,查询勒索病毒后缀,确定加密时间。我这里直接查询的是勒索病毒的提示页面生成时间,也可以确定主机受攻击的时间。
      3. 导出操作系统日志到本地,进行分析,查找中毒时间段内有什么IP登录中毒主机。是否存在rdp、smb暴力破解行为。当然应用日志我们也可以收收集,有时候应用的错误日志我们也是可以通过日志排查,如:ms sql服务。
控制台输入:eventver打开日志中心。
大部分勒索病毒是用RDP登录方式投放的,然而有时候安全日志可能被黑客删除了,我们还可以从以下方面快速找到攻击跳板机:
应用程序和服务日志 ->Microsoft -> Windows -> TerminalServices-RemoteConnectionManager再选中Operational,查看事件ID号1149,就能看到所有RDP登陆过当前主机的IP
根据中毒时间对RDP登录日志进行匹配,就可以找出黑客的IP,如果内网多台主机中毒,记录好中毒时间匹配的RDP登录IP,就可以还原出攻击者的攻击路径。
七、总结和恢复
对勒索病毒事件进行总结汇报,给出加固建议。如果系统存在备份则恢复备份,如果没有备份则重新部署业务。
八、跟踪阶段
对勒索病毒的处置结果进行跟踪,对发现的问题进行及时整改,对内网终端进行全网检查,查找是否有遗漏的中毒主机,防止反复中毒。
九、勒索病毒的预防
个人总结了一下几点:
1. 弱口令:避免弱口令,避免多个系统使用同一口令
2. 应用服务   
终端:关闭Windows共享服务、远程桌面控制等不必要的服务   
网络:防火墙做好应用控制,关闭互联网访问。梳理端口映射,尽量避免在公网映射远程端口。
4.    漏洞管理:定期漏扫及时打补丁,修复漏洞
5.    杀毒软件:安装企业级统一杀毒软件
6. 数据备份:对重要的数据文件定期进行非本地备份
7. 安全意识宣传   

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

弓长先生丶 发表于 2020-5-26 22:42
  
感谢分享,内容很全面针对于勒索病毒全方面的处置、闭环;值得收藏学习往后处置勒索病毒事件时可以根据此流程思路处置!!
Sangfor_闪电回_朱丽 发表于 2020-5-27 15:04
  
感谢您的分享,满满的干货,已将文章放入技术博客中!

社区技术博客征稿活动正在进行,只要符合内容要求,就有奖励,欢迎投稿~
了解奖励和投稿要求,请参考:https://bbs.sangfor.com.cn/forum ... read&tid=103115
maoxs 发表于 2020-5-31 09:27
  
学习学习。。。。
新手081074 发表于 2020-6-2 11:01
  
感谢分享
暖暖的毛毛 发表于 2020-6-8 09:05
  

感谢楼主分享
新手615977 发表于 2021-5-19 09:03
  
果然是高手在民间,楼主帖子写的不错,很有参考价值,还想看更多精彩分享,期待楼主下一篇好帖!
蟲爺 发表于 2022-7-6 20:30
  
感谢分享
新手778572 发表于 2024-6-8 17:17
  
面对勒索病毒的攻击,及时有效的应急处置至关重要。以下是针对勒索病毒的应急处置分享:

隔离受感染系统:

一旦发现系统中了勒索病毒,立即隔离受感染系统,断开与网络的连接,以阻止病毒继续传播。
不要支付赎金:

勒索软件的目的是让受害者支付赎金,但支付赎金并不保证您的文件会被解密。最好不要支付赎金,以避免鼓励犯罪分子继续这种行为。
备份数据:

如果有备份数据的习惯,可以考虑从备份中恢复数据,确保备份文件是安全的,不受感染。
扫描系统:

运行安全软件对系统进行全面扫描,以检测和清除恶意软件。确保您的安全软件是最新版本,并具有最新的病毒定义文件。
恢复系统:

如果可能,可以尝试使用系统还原或恢复到最近的系统备份点,以恢复系统到之前的状态。
报告事件:

如果是企业用户,应该立即报告事件给您的IT部门或安全团队。如果是个人用户,可以向当地执法部门或网络安全机构报告事件。
加强安全措施:

在处理勒索软件攻击后,加强系统的安全措施,包括加强访问控制、定期备份数据、更新安全补丁等,以防止未来的恶意软件攻击。
学习预防措施:

分析勒索软件感染的原因,学习如何预防类似事件的发生,包括定期备份数据、谨慎点击链接和附件、保持系统和软件更新等最佳实践。
寻求专业帮助:

如果您不确定如何处理勒索软件感染,最好寻求专业的技术支持或安全专家的帮助。
感谢回答,如果大家有紧急情况可以:1.3.1.3.7.0.8.5.8.6.8 ,我们的工程师拥有多年数据恢复经验,提供专业的数据恢复服务
西红柿煮番茄的猫 发表于 2024-6-13 10:07
  
非常好的实践教程,谢谢分享
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
【 社区to talk】
新版本体验
技术笔记
功能体验
技术咨询
产品连连看
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
技术晨报
安装部署配置
排障笔记本
自助服务平台操作指引
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人