|
1.1、网络拓扑信息 1.2、攻击现场环境 操作系统:Windowserver 2008 应用类型:OA 1.3、客户问题描述 1.4、事件处置结果 | 问题综述 | 服务器被植入勒索病毒,文件被加密,加密文件的后缀为随机后缀13nln | | 1.此次勒索病毒为最新的Crysis勒索病毒。
2.回溯勒索病毒事件 | | 1.主机永恒之蓝补丁会打。 2.服务器可能存在弱口令。 |
第二章、事件排查过程 2.1、异常现象确认 服务器被植入勒索病毒,文件被加密,加密文件的后缀随机8位数,根据勒索界面和加密后缀判断该勒索病毒为最新版本的勒索病毒Crysis,该病毒暂时没有密钥对加密的文件进行解密。本次中勒索病毒的有两台主机,下面会逐一进行分析。
2.2、溯源分析过程 注:一般情况下,需要查看服务器的可疑进程、启动项、服务、浏览器历史记录、系统日志、应用日志、网络连接、可疑文件及日期等要素(如有发现,需截图留证)。 查看登录成功时间,判断OA被入侵的时间为2月18号凌晨4:41:49:
通过分析系统日志得出,造成被入侵的原因是该主机被爆破,并在9:17:30时被ip地址为xxxxx登录并植入勒索病毒:
并且通过技术手段检测,该主机未及时更新系统化补丁,导致存在严重系统漏洞补丁,具体漏洞编号为MS17-010。 查看该主机系统日志发现该主机存在被恶意ip大量爆破的行为。并在1:29:31时被主机xxxx登录:
该主机用户名和密码被成功后黑客在9:36时重新分配了特殊权限并且植入勒索病毒,加密整个盘符相关文件。经过技术手段分析,中控主机也存在未及时更新操作系统补丁,导致该主机存在MS17-010漏洞被黑客利用,导致病毒的传播。 使用火绒产品对该主机进行全盘扫描,发现该主机上还存在木马病毒文件,具体如下图所示: 第三章、应急响应事件结论 两台机器被入的勒索都为Crysis,暂时没有密钥进行解密。OA被入侵的时间为2月18号早晨4:36:56。造成被入侵的原因是该主机被爆破,并在9:36:13时被ip地址为1*2.1*8.*.1*登录并植入勒索病毒。经过检测该主机还存在严重系统漏洞补丁未打,漏洞编号为MS17-010。 中控主机被勒索的时间为2月18号4:36:12,该主机也被大量爆破。并在9:36:13时被主机1*2.1*8.*.1*登录。并在1:41时植入勒索病毒。经过分析该主机也存在上述主机的系统漏洞。进一步排查发现该主机还被植入了wanacry的变种,该变种会利用上述系统漏洞对内网所有主机进行漏洞攻击。 第四章、存在的威胁 4.1、安全意识问题 1.对内网安全不够重视,未充分考虑内网安全,导致病毒在内网肆意扩散。 2.对于内网主机的安全性不够重视,比如内网主机存在弱口令等。 3.内网终端映射3389端口50余条; 4.服务器区域未对进行防护; 4.2、终端安全 1.主机上未安装最新版/可统一管控的杀毒软件,未对主机进行病毒查杀; 2.主机未及时更新系统补丁,如MS17-010; 3.内网未部署漏洞扫描工具,无法得知哪些主机存在漏洞未修复等安全隐患。 4.终端存在较多XP系统、WIN7系统; 第五章、安全加固和改进建议 5.1、系统加固建议 账号安全 1.密码复杂度 - 最短密码长度要求八个字符,密码含有数字、大小写英文字母和特殊字符。 2.禁用Guest账号,禁用或删除其他无用账号。 3.禁用**istrator账号,为跳板机用户专门设置新的账号。 4.账号尝试登陆5次后将该账号进行封锁半小时不运行登陆的禁令。 系统安全 1.操作系统补丁管理 - 安装最新的操作系统Hotfix补丁。安装补丁时应对服务器系统进行兼容性测试。 2.限制远程登陆空闲断开时间 - 对于远程登陆的账号,设置不活动超过时间15分钟自动断开连接。 3.防病毒管理 - 安装企业级防病毒软件,并开启病毒库更新及实时防御功能。 4.服务安全 - 禁用TCP/IP上的NetBIOS协议,可以关闭监听的UDP137、UDP 138、以及TCP139端口。 5.共享文件夹及访问权限 - 非域环境中,关闭Windows硬盘默认共享,C$,D$。 6.跳板机机器的远程连接端口不对公网进行开放。 5.2、产品加固建议 1.部署可统一管控的终端安全杀毒软件,如发现安全问题可一键下发病毒查杀扫描任务,及时清理病毒。 2.缺少内网安全监控产品, 未对主机的攻击流量进行监控,无法预知或发现安全隐患; 3.缺少漏洞扫描设备,未定期对内网环境进行漏洞扫描,未能及时修复漏洞,造成病毒肆意传播。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-6-11 14:06
技术员2级 
