×

#干货满满# 安服应急响应学习笔记及勒索病毒应急处置案例
  

SANGFOR_HZ 190528人觉得有帮助

{{ttag.title}}

安服应急响应学习笔记及勒索病毒应急处置案例



一、安服应急响应学习笔记
1、病毒应急响应

2、常见应急工具

3、常见病毒处置

二、勒索病毒应急处置案例

1、应急响应事件结论
攻击者IP地址10.110.8.4针对主机192.168.2.16进行暴力破解攻击,并在2021年11月4日 11:27:15使用test账号成功爆破远程登录系统。在2021年11月4日 11:29:28上传了ProcessHacker.exe工具,并运行ProcessHacker.exe强制关闭了火绒杀毒软件,然后在2021年11月4日 11:33:12创建了artifact.exe,并执行了该木马程序。然后在在2021年11月4日11:46:38对主机上的文件进行了加密。

2、异常现象确认
(1)登录主机系统查看到有被勒索提示信息,如下图所示:
(2)查看桌面文件发现被加密,并且后缀为.eking,以及存在info.txt文件,打开info.txt文件查看留有勒索病毒邮箱。
(3)通过勒索病毒搜索引擎,进行搜索.eking,判断勒索病毒为Phobos家族勒索病毒,并且暂解密工具,传播投放的方式一般为RDP爆破+人工的方式,后续可重点查看RDP相关日志。如下所示:

3、溯源分析
注:一般情况下,需要查看服务器的可疑进程、启动项、服务、浏览器历史记录、系统日志、应用日志、网络连接、可疑文件及日期等要素。
(1)查看加密文件的生成时间,判断主机被入侵的时间在2021年11月4日,11:46:38之前,如下图所示:
(2)使用启动项工具Autoruns查看任务启动项,发现可疑启动项1.exe,如下图所示:
查任务计划和服务均为发现异常可疑项。
(3)登录系统火绒提示1.exe为病毒文件,查看火绒病毒查杀日志,基本确认上面启动看到的1.exe为病毒启动项。
(4)使用userassistview日志分析工具进行分析,查看1.exe运行时间为2021年11月4日 11:34:21,发生在加密之前,并且在运行1.exe之前并运行artifact.exe和ProcessHacker.exe。所以初步判断攻击者2021年11月4日 11:29:28上传了ProcessHacker.exe工具,并运行ProcessHacker.exe强制关闭了火绒杀毒软件,然后执行了artifact.exe木马程序。如下图所示:
(5)使用everthing工具进行搜索artifact.exe,发现在Windows目录下
并且文件创建时间在2021年11月4日 11:33:12
(6)把artifact.exe上传到微步沙箱进行分析,发现为木马恶意程序,如下图所示:
(7)查看Windows安全日志,发现2021年11月4日 11:49:22清除了Windows日志信息,如下图所示:
(8)查看Windows远程桌面应用连接日志,发现在2021年11月4日 11:27:15,可疑IP地址10.110.8.4使用test账号远程成功登录,如下图所示:
(9)查看火绒杀毒软件,发现有IP地址10.110.8.4暴力破解攻击拦截告警信息,如下图所示:
(10)查看系统端口发现3389开启状态,并且查看MS17-010补丁未打,如下所示:

4、事件应急处置
(1)删除恶意启动项
(2)删除恶意程序
(3)使用火绒进行全扫描清理病毒

5 安全现状
(1) 安全意识问题
1) 对内网安全不够重视,未充分考虑内网安全,导致病毒在内网肆意扩散;
2) 对于内网主机的安全性不够重视,比如内网主机存在弱口令等。
3) 开放非必要端口
(2) 终端安全
1) 主机上未安装最新版/可统一管控的杀毒软件,未对主机进行病毒查杀;
4) 主机未及时更新系统补丁,如MS17-010;
5) 内网未部署漏洞扫描工具,无法得知哪些主机存在漏洞未修复等安全隐患。
6 安全加固和改进建议
(1)  系统加固建议
账号安全
1) 密码复杂度 - 最短密码长度要求八个字符,密码含有数字、大小写英文字母和特殊字符。
2) 禁用Guest账号,禁用或删除其他无用账号。
3) 禁用administrator账号,为跳板机用户专门设置新的账号。
4) 账号尝试登陆5次后将该账号进行封锁半小时不运行登陆的禁令。
系统安全
1) 操作系统补丁管理 - 安装最新的操作系统Hotfix补丁。安装补丁时应对服务器系统进行兼容性测试。
2) 限制远程登陆空闲断开时间 - 对于远程登陆的账号,设置不活动超过时间15分钟自动断开连接。
3) 防病毒管理 - 安装企业级防病毒软件,并开启病毒库更新及实时防御功能。
4) 服务安全 - 禁用TCP/IP上的NetBIOS协议,可以关闭监听的UDP 137、UDP 138、以及TCP 139端口。
5) 共享文件夹及访问权限 - 非域环境中,关闭Windows硬盘默认共享,C$,D$。
6) 跳板机机器的远程连接端口不对公网进行开放。
(2)  产品加固建议
1) 部署可统一管控的终端安全杀毒软件,如发现安全问题可一键下发病毒查杀扫描任务,及时清理病毒。
2) 缺少内网安全监控产品, 未对主机的攻击流量进行监控,无法预知或发现安全隐患;可以增加安全态势感知平台对内网安全态势进行实时分析。
3) 缺少漏洞扫描设备,未定期对内网环境进行漏洞扫描,未能及时修复漏洞,造成病毒肆意传播。
4) 部署备份一体机针对重要的数据进行异地备份。


打赏鼓励作者,期待更多好文!

打赏
60人已打赏

小鱼儿 发表于 2023-3-22 20:33
  
每天学习一点,每天进步一点。
蔺嘉宾 发表于 2023-3-22 20:33
  
每天学习一点,每天进步一点。
梦境人生 发表于 2023-3-22 20:33
  
每天学习一点,每天进步一点。
唐三平 发表于 2023-3-22 20:33
  
每天学习一点,每天进步一点。
鲤鲤 发表于 2023-3-22 20:41
  
每天学习一点,每天进步一点。
小小胖 发表于 2023-3-22 20:41
  
每天学习一点,每天进步一点。
朱墩2 发表于 2023-3-22 20:41
  
每天学习一点,每天进步一点。
焱燚 发表于 2023-3-22 20:45
  
每天学习一点,每天进步一点。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
干货满满
每日一问
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
安装部署配置
功能体验
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
每周精选
深信服技术支持平台
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人