×

【安全服务】XXXX公司应急响应处置
  

Alen_luo 104363人觉得有帮助

{{ttag.title}}
本帖最后由 Alen_luo 于 2020-4-26 14:22 编辑

第一章、应急现场概述
1.1、网络拓扑信息
华为虚拟化(服务器,桌面)集群接在汇聚交换机上,汇聚交换机上接核心交换机,在上面依次是:深信服AC、网神防火墙,锐捷路由器,运营商出口链路。
1.2、攻击现场环境
操作系统:Windows server 2008 R2
应用类型:税务发票服务主机
IP地址:192.168.XX.XX

操作系统:windows server 2008 R2
应用类型:税务发票测试服务主机
IP地址:192.168.XX.XX
1.3、客户问题描述
                                             

1.4、事件处置结果
  
问题综述
  
税务票务服务器被植入勒索病毒,文件被加密,加密文件的后缀为随机后缀(.id[2C7BD37B-2803]+[ mccreight.ellery@tutanota.com].eight)。
  
处置结果
  
1.此次勒索病毒为最新勒索病毒变种  
  2.回溯勒索病毒事件。
  
遗留内容
  
未建立有效的边界防护和业务防护
第二章、事件排查过程
2.1、异常现象确认
服务器文件在2020年4月14日凌晨0点57分被黑客加密,加密文件的后缀及勒索信息如下:



根据勒索界面和加密后缀等信息,在威胁情报库中进行对比,判断该勒索病毒为新版本phobos,并非主流的十二主神勒索病毒,如下图所示,该病毒暂时没有密钥对加密的文件进行解密。本次中勒索病毒的有两台主机。
                                            
2.2、溯源分析过程
查看服务器的可疑进程、启动项、服务、浏览器历史记录、系统日志、应用日志、网络连接、可疑文件及日期等要素。
通过与客户进行口头交流沟通,得知中勒索病毒的两台服务器都将3389端口映射到互联网用于软件商进行远程运维,且两台服务器的密码设置一样;在4月13日晚上7点后,软件商运维人员远程登陆服务器进行运维,在4月14日凌晨两台服务器遭受攻击,数据文件被加密;综上事件情况,推断黑客通过某种手段截取服务器的登陆信息获取服务器的权限,实施了加密勒索,详细分析如下:
Ø  查看加密文件的生成时间,判断服务器被入侵的时间为4月14号凌晨0:57:00之前


Ø  查看系统日志,发现服务器虚拟机系统日志被黑客加密,无法查看日志。通过连接客户现场情况,可以判断客户该服务器映射3389端口到公网。怀疑黑客使用端口扫描的方式发现服务器(192.168.XX.XX或者192.168.XX.XX)对外开放3389端口,随后通过暴力破解等方式进入服务器,获得操作权限,并植入病毒程序。
Ø  通过调研,查看配置发现,网络边界的网神防火墙并没有开启防护功能,只是做了端口映射和NAT功能。同时在防火墙上并没有发现有用的相关日志。
Ø  此外在网络中同网段的服务器中查看日志,发现中勒索病毒的服务器向内网其他服务器发起了大量的登录信息,开始时间为2020年4月14日0点22分。
Ø  由此可以判断黑客是在2020年4月14日0点22分这个时间点之前进入服务器(192.168.XX.XX或者192.168.XX.XX)。
Ø  通过分析在网络中其它服务器的安全软件日志(有几台服务器安装了免费版火绒安全),定位内网威胁终端,使用EDR对这些威胁终端优先进行查杀,查杀完成后更改服务器和PC的密码为强密码并关闭不必要的高危端口,安全日志如下图:
                                                   
最终得出风险终端如下图:
Ø  截止2020年4月14日9点44分,客户将中病毒虚拟机的网络中断。黑客并没有攻破内网其他服务器。
2.3、应急处置过程
2.3.1、业务恢复
通过分析定位服务器是中了phobos勒索病毒软件,此勒索病毒暂无解密工具,通过多方沟通了解到目前服务器的数据在两个月前有一次备份,且后面的增量数据可以通过某种手段进行找回,建议客户在处置的过程中保留现有业务服务器不变化(断网),新搭建业务在新的服务器上,尝试恢复备份数据,保证备份数据的可用性,最终完全找回增量数据后,格式化病毒服务器处置。
2.3.2、安全加固
Ø  在内网环境中搭建EDR终端响应平台,将内网其它主机全部安装好EDR agent客户端软件,保障办公PC和其余业务服务器的上网环境安全。
Ø  所有检测出病毒或者能更改密码的主机,在病毒查杀完成后更改当前密码,并要求密码的复杂性不低于8为,包含数字、大小写字母、特殊字符
Ø  内网环境能关闭远程桌面访问的都关闭,此病毒主要是通过RDP爆破传播
在对内网服务器和终端办公PC杀毒处置的过程中,发现内网大部分机器都中了挖矿病毒securebootthemes,扫描结果如下图所示:

       通过相关威胁情报定位威胁文件病毒类型为WannaMine挖矿病毒,如下图:
      
使用EDR终端防护软件将病毒文件隔离,一键处理成功,处置完成后对服务器和PC进行重启,严重服务器及PC工作正常。

第三章、应急响应事件结论
两台机器被植入的勒索病毒为phobos,暂时没有密钥进行解密。服务器被入侵的时间为4月14号凌晨0:22:00。造成被入侵的原因可能是该主机被爆破,通过映射到公网的3389端口进入被攻击服务器。
经过分析其他主机安全日志,税务主机被勒索的时间为4月14号0:57:00。并在0:22:00之前被黑客登录登录,并植入勒索病毒。
除上述两台服务器中勒索病毒后,内网其它服务器和PC已经全部查杀,保障业务和用户的上网安全。
第四章、存在的威胁
4.1、安全意识问题
1、对内网安全不够重视,未充分考虑内网安全,导致病毒在内网肆意扩散。
2、对于内网主机的安全性不够重视,比如内网主机存在弱口令等。
3、边界防护并没有起到响应的作用,同时没有响应的日志信息。
4、虚拟化环境有杀毒防护软件,但是并没有开启防护功能。
4.2、终端安全
1.主机上未安装最新版/可统一管控的杀毒软件,未对主机进行病毒查杀;
2.内网未部署漏洞扫描工具,无法得知哪些主机存在漏洞未修复等安全隐患。
第五章、安全加固和改进建议
5.1、系统加固建议
账号安全
1.密码复杂度 - 最短密码长度要求八个字符,密码含有数字、大小写英文字母和特殊字符。
2.禁用Guest账号,禁用或删除其他无用账号。
3.禁用administrator账号,为跳板机用户专门设置新的账号。
4.账号尝试登陆5次后将该账号进行封锁半小时不运行登陆的禁令。
系统安全
1.限制远程登陆空闲断开时间 - 对于远程登陆的账号,设置不活动超过时间15分钟自动断开连接。
2.防病毒管理 - 安装企业级防病毒软件,并开启病毒库更新及实时防御功能。
3.服务安全 - 禁用TCP/IP上的NetBIOS协议,可以关闭监听的UDP137、UDP 138、以及TCP139端口。
4.共享文件夹及访问权限 - 非域环境中,关闭Windows硬盘默认共享,C$,D$。
5.跳板机机器的远程连接端口不对公网进行开放。
5.2、产品加固建议
1.部署可统一管控的终端安全杀毒软件,如发现安全问题可一键下发病毒查杀扫描任务,及时清理病毒。
2.缺少内网安全监控产品, 未对主机的攻击流量进行监控,无法预知或发现安全隐患;
3.缺少漏洞扫描设备,未定期对内网环境进行漏洞扫描,未能及时修复漏洞,造成病毒肆意传播。

打赏鼓励作者,期待更多好文!

打赏
13人已打赏

15082161216 发表于 2023-2-8 14:28
  
太好了,正好学习一下
Sangfor2419 发表于 2020-4-30 23:17
  
勒索病毒一般都是暴力破解远程桌面后投毒进行加密的,建议大家从源头上解决,即实时修复系统补丁,使用高强度口令及不要将3389映射到公网,一般被加密了,能解密的是比较少的,而且解密的成本也比较高,为了避免不必要的损失,建议大家平常养成良好的习惯。感谢楼主分享,期待楼主有更加精彩的内容!
水之蓝色 发表于 2020-4-30 21:37
  
谢谢分享
Janbos 发表于 2020-4-30 10:57
  
对楼主排查的过程和后续的处理点赞,但是把3389端口映射到公网这不是自己找死吗?
新手422389 发表于 2020-4-30 09:25
  
学习了
新手272980 发表于 2020-4-29 21:04
  
感谢分享,学习一下
新手716814 发表于 2020-4-29 10:29
  
感谢分享
sdhd_耿建峰 发表于 2020-4-27 20:27
  
学习了!:666:
Pat神 发表于 2020-4-27 17:52
  
太好了,正好学习一下
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
技术晨报
安装部署配置
排障笔记本
自助服务平台操作指引
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人