×

#原创分享#安全服务之勒索病毒溯源处置及日常小实验
  

霸气你蕾哥 117172人觉得有帮助

{{ttag.title}}
本帖最后由 霸气你蕾哥 于 2020-7-24 14:56 编辑

“当前已有100+用户参与分享,共计发放奖励50000+“


应急现场概述

1.1、网络拓扑信息

1.2、攻击现场环境

操作系统:Windows server 2008 R2

应用类型:FTP及视频平台(录课直播,点播)服务器


1.3、客户问题描述
主机 ip/域名                192.168.X.250(客户资产手动打码)
        
入侵主机情况描述        服务器被植入勒索病毒,文件被加密为.void格式
        
主要用途及应用        FTP及视频平台(录课直播,点播)服务器
        
行为表现        数据文件被加密为.void格式
        
安全防护措施        暂无安全设备
        



1.4、事件处置结果
问题综述        服务器被植入勒索病毒,文件被加密,加密文件的后缀为.void。
处置结果        1.确定此次勒索病毒为VoidCrypt 家族勒索病毒。
                2.初步怀疑是 FTP 或者远程桌面3389映射公网导致黑客通过暴力破解的方式获取服务器密码后,远程登陆服务器。
                3.回溯病毒事件可能原因
                4.通过EDR微隔离勒索高危端口,并杀毒处置。

遗留内容        无

事件排查过程
2.1、异常现象确认
1)服务器被植入勒索病毒,文件被加密,加密文件的后缀为.Void,被加密文件后缀格式: 文件后缀被修改为[mail][id].void,根据加密后缀判断该勒索病毒VoidCrypt勒索病毒家族,暂时没有密钥对加密的文件进行解密。
本次中勒索病毒的有 1 台服务器,下面会进行溯源分析。
下图是服务器勒索病毒的截图,不同勒索病毒可能展现形式有一点区别,总体上都是文件加密+弹框勒索。

2)exe.txt.xlms等文件都被加密,加密后缀为.Viod



2.2、溯源分析过程


① 通过Everything工具搜索加密后缀,按照日期排序确定服务器最早于 2020年7月12日的 1点 32 分开始文件加密

②通过Autoruns开机启动项管理工具定位,黑客为了保持病毒能够开机启动、登录启动或者定时启动,通常会有相应的启动项,排查启动项,发现勒索弹窗进程为开机高可疑启动项,手动关闭。
启动项如下:

2.2)   进程分析——排查可疑进程,如svchost.exe 进程为windows主机进程,但如果主目录不对,即为可疑进程,手动结束进程,同时ServUDameon.exe的FTP进程存疑,因所有的exe已被加密,需做进一步的病毒查杀判处


③日志溯源是找到黑客登录方法及跳板机地址的最好办法,也是溯源过程中核心的一步,但是查看服务器日志发现7月14号(上门时间)之前的服务器安全日志已被黑客清除,内网也没有统一的日志留存设备,无法做进一步勒索溯源判处
下一步的工作就是做1安全加固2服务器异常进程清除3内网终端整体安全扫描加固


④服务器风险设置分析
1)开启远程桌面,且允许任意版本连接

2)服务器远程桌面被出口网关设备映射至公网,高风险项。
根据目前某公司安全服务团队接到的勒索病毒事件的处置情况来看,约95%的服务器勒索病毒事件是因为开放了3389端口导致,黑客通过暴力破解服务器登录密码,远程登录到服务器,之后植入勒索病毒;

3)查看本地开放端口,135,445,3389等高危端口正常开放

4)服务器之前MS17-010补丁没有打全——对比服务器中的勒索病毒补丁编号(如win2008R2补丁 KB4012212、KB4012215),没有发现KB4012215对应的补丁,该服务器未打全MS17-010补丁


2.3 病毒分析及查杀
使用Sangfor免疫工具扫描是否存在病毒样本,发现威胁病毒,确认残留为木马病毒(结合微步在线联合判处),非勒索病毒,此现象也很常见,大多数勒索病毒样本在执行文件加密后,会自动删除本体,这也是目前新拷贝文件到服务器不会被加密的原因

微步在线,云沙箱分析,残留病毒文件为木马病毒


3)本次同时搭建试用版企业级终端威胁响应,提供终端实时防护及病毒查杀,部分查杀效果图如下,提供威胁检测和智响应


应急响应事件结论
1.经事件分析,两台机器被植入的勒索病毒为VoidCrypt勒索家族,暂时没有密钥进行解密。服务器文件最早被加密的时间为2020年7月12日1点32分。造成被入侵的原因可能是该主机被爆破,通过映射到公网的3389端口进入被攻击服务器。
2.因服务器日志被清除,无法做进一步溯源,内网缺少日志统一留存设备。
3.缺少安全防护设备防护内网,安全防护能力薄弱。
4.除上述服务器中勒索病毒后,内网其它大部分服务器和PC通过安装某公司终端威胁响应EDR后查杀病毒,保障业务和用户的上网安全
存在的威胁
4.1、安全意识问题
1.内网安全防护不足,禁止安装一些反向代理工具,避免服务器留下危害较大的后门
2.不要随意点击不明软件、邮件附件或者链接

4.2、终端安全
定时更新微软补丁包,使主机存在安全隐患降低到最低。


安全加固和改进建议
5.1、系统加固建议
系统安全
1.继续定期增打系统补丁,升级中间件、服务器版本。

2.限制远程登陆空闲断开时间 - 对于远程登陆的账号,设置不活动超过时间 15 分钟自

动断开连接,

3.防病毒管理 - 安装企业级防病毒软件,并开启病毒库更新及实时防御功能。

4.服务安全 -  禁用 TCP/IP 上的 NetBIOS 协议,关闭无业务需求服务器的 UDP 137、

UDP 138、以及 TCP 139、445 端口。

5.共享文件夹及访问权限 - 非域环境中,关闭 Windows 硬盘默认共享,C$,D$。

6.跳板机机器的远程连接端口不对公网进行开放。


5.2、产品加固建议
1.部署可统一管控的企业级终端安全杀毒软件,如发现安全问题可一键下发病毒查杀扫描任务,及时清理病毒;
2.缺少安全防护设备做内网安全防护和威胁检测
3.缺少内网安全监控产品,未对主机的攻击流量进行监控,无法预知或发现安全隐患;
4.缺少漏洞扫描设备,未定期对内网环境进行漏洞扫描,未能及时修复漏洞,造成病毒肆意传播



补充:1.大部分勒索文件无法解密,所以我们应引导客户做好安全加固,溯源分析意义此时无实质意义,若客户有要求可按照
后文附件标准处置
遗漏点:客户反馈最初服务器密码被修改,通过破解进入发现被勒索加密,其实在日志被清理的情况下,可用netstat user定位
修改administrator的时间,也可做为溯源点
其中之前自己做的影子账户实验就是这个原理,后文可参考
1. 通过net user 创建隐藏账户
2. 并将隐藏账号加到administrators
3.展开注册表[HKEY LOCAL MACHINE\ISAM\SAM],默认情况下这个项里没有任何内容,这是因
为用户对它没有权限。在这个项的右键菜单里,为administrator用户赋予完全控制权限。
4.[SAM\Domains\Account\Users\Names]项里显示了系统当前存在的所有账户,选中我创建的wjl$, 在其右侧有一个名为“默认”,类型为“0x3eb"的键值。 其中的“3eb"就是wjl$用户SID的结尾,即RID使用十六进制表示。
[SAM\Domains\Account\Users]里有一个以“3EB"结尾的子项,这两个项里都是存放了用户test$的信息。在这两个项上单击右键,执行“导出"命令,将这两个项的值分别导出成扩展名为.reg的注册表文件。


5. 然后删除隐藏账户,刷新注册表,发现上面两项都没了
6、下面再将刚才导出的两个注册表文件重新导入,此时在注册表里就有了wjl$账户的信息,但无论在命令行还是图形界面都无法看到这个账户,账户就被彻底隐藏了
7.使用这个隐藏账户可以登录系统,但缺点是仍然会产生用户配置文件,再对这个账户做进一步处理,以使之完全隐藏
展开到上面的注册表项中,找到administrator用户的RID值“1f4”,展开对应的“000001F4"项,其右侧有一个名为f的键值,这个键值中就存放了用户的SID。下面将这个键值的数据全部复制,并粘贴
*000003EB"项的f键值中,也就是将administrator用户的SID复制给了wjl$,这样在操作系统内部,实际上就把wjl$当做是administrator, wjl$成了administrator的影子账户,与其使用同一个用户配置文件,wjl$也就被彻底隐藏了。

8. 通过本地命令行和本地用户组查看效果

勒索病毒处置-处置方案(重要).zip

3.13 MB, 下载次数: 163

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

Sangfor_闪电回_朱丽 发表于 2020-7-24 14:07
  
感谢楼主带来的知识经验分享!已将文章放入社区技术博客中,以便让更多的用户关注和学习!

社区技术博客征稿活动正在进行,发布标题为#原创分享#开头的文章,只要符合内容要求,就有奖励,欢迎投稿~
了解奖励和投稿要求,请参考:https://bbs.sangfor.com.cn/forum ... read&tid=113795
新手978513 发表于 2020-7-24 17:27
  

感谢分享
新手229660 发表于 2020-7-24 17:31
  
感谢分享
ie5000 发表于 2020-7-25 00:11
  
厉害,学习了
弓长先生丶 发表于 2020-7-25 13:23
  
感谢分享
新手780102 发表于 2020-7-25 19:25
  
感谢分享
JM 发表于 2020-7-25 19:33
  

感谢分享
Jean_Zhj 发表于 2020-7-25 21:06
  
感谢分享。
新手727241 发表于 2020-7-26 14:49
  
感谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人