第二章、事件排查过程
1.1、异常现象确认
服务器被植入挖矿病毒,中了驱动人生病毒变种木马的主机,会运行一个伪装的svchost进程,该父进程会接着创建进程taskmgr、svchost以及cmd,其中taskmgr为挖矿进程。同时主机长时间执行高性能计算,浪费网络带宽,CPU和内存占用较高,不能及时处理用户的正常请求或任务增加电力消耗, 本次中挖矿病毒目前发现的有四台主机,下面会进行分析。
1.2、溯源分析过程
查看服务器蓝屏时间,判断服务器被入侵的时间为5月11号12:05:10:
通过分析系统日志得出,造成被入侵的原因是该主机被爆破,并在11:08:13时被登录并植入勒索病毒:
并且通过技术手段检测,该主机被植入挖矿“驱动人生”病毒,并且该主机未及时更新系统化补丁,导致存在严重系统漏洞补丁,具体漏洞编号为MS17-010。
同样的,该主机上的“驱动人生”变种病毒也会利用MS17-010进行内网扩散,对内网所有的主机进行漏洞扫描及漏洞攻击行为,并不断扩散功能攻击流程如下:
2.3、处置方案:
1、由于“驱动人生”病毒会自动隐藏以及再生,利用驱动人生专用工具Process Hacker(系统进程管理和内存编辑器)进行系统任务进程的检查。
2、 结束“驱动人生”病毒相关特征的进程(伪装的svchost进程,该父进程会接着创建进程taskmgr、svchost以及cmd,其中taskmgr为挖矿进程)
3、 并找到相关的文件根目录由于存在普通权限无法删除病毒,将利用PCHunter对病毒进行强删除。
4、 继续检查计划任务、启动项,找到“驱动人生”的计划任务,并删除。
5、 杀毒软件进行全盘查杀确保不存在遗漏。
第三章、应急响应事件结论
四台主机蓝屏的时间为5月12号12:15,该主机被大量爆破。并在08:29:31时被主机登录。经过分析该主机存在开放3389远程桌面,并且存在弱口令。病毒感染方式为:永恒之蓝攻击、SMB爆破、PSEXEC与ANCHNEG执行、MSSQL爆破攻击,持续化攻击通过创建服务、创建任务计划、创建启动项run、创建管理员账号。该变种会利用上述系统漏洞对内网所有主机进行漏洞攻击。
第四章、存在的威胁
4.1、安全意识问题
1.对内网安全不够重视,未充分考虑内网安全,导致挖矿病毒在内网肆意扩散。
2.对于内网主机的安全性不够重视,内网主机存在弱口令,口令一致等。
4.2、终端安全
1.主机上未及时更改密码,并存在多余服务应用。
2.主机未及时更新系统补丁,如MS17-010;
3.内网未部署漏洞扫描工具,无法得知哪些主机存在漏洞未修复等安全隐患。
第五章、安全加固和改进建议
5.1、系统加固建议
账号安全
1.密码复杂度 - 最短密码长度要求八个字符,密码含有数字、大小写英文字母和特殊字符。
2.禁用Guest账号,禁用或删除其他无用账号。
3.禁用**istrator账号,为跳板机用户专门设置新的账号。
4.账号尝试登陆5次后将该账号进行封锁半小时不运行登陆的禁令。
系统安全
1.操作系统补丁管理 - 安装最新的操作系统Hotfix补丁。安装补丁时应对服务器系统进行兼容性测试。
2.限制远程登陆空闲断开时间 - 对于远程登陆的账号,设置不活动超过时间15分钟自动断开连接。
3.防病毒管理 - 安装企业级防病毒软件,并开启病毒库更新及实时防御功能。
4.服务安全 - 禁用TCP/IP上的NetBIOS协议,可以关闭监听的UDP137、UDP 138、以及TCP139端口。
5.共享文件夹及访问权限 - 非域环境中,关闭Windows硬盘默认共享,C$,D$。
6.跳板机机器的远程连接端口不对公网进行开放。
5.2、产品加固建议
1.缺少内网安全监控产品, 未对主机的攻击流量进行监控,无法预知或发现安全隐患;
2.缺少漏洞扫描设备,未定期对内网环境进行漏洞扫描,未能及时修复漏洞,造成病毒肆意传播。
3.缺少针对驱动人生这类病毒有效的终端杀毒建议上EDR联动防火墙,达到闭环效果。
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-5-22 15:08
发表于 2020-5-18 14:27
思路清晰,为干货分享点赞
技术员2级 
