本帖最后由 霸气你蕾哥 于 2020-7-24 14:56 编辑
“当前已有100+用户参与分享,共计发放奖励50000+“
应急现场概述
1.1、网络拓扑信息
1.2、攻击现场环境
操作系统:Windows server 2008 R2
应用类型:FTP及视频平台(录课直播,点播)服务器
1.3、客户问题描述
主机 ip/域名 192.168.X.250(客户资产手动打码)
入侵主机情况描述 服务器被植入勒索病毒,文件被加密为.void格式
主要用途及应用 FTP及视频平台(录课直播,点播)服务器
行为表现 数据文件被加密为.void格式
安全防护措施 暂无安全设备
1.4、事件处置结果
问题综述 服务器被植入勒索病毒,文件被加密,加密文件的后缀为.void。
处置结果 1.确定此次勒索病毒为VoidCrypt 家族勒索病毒。
2.初步怀疑是 FTP 或者远程桌面3389映射公网导致黑客通过暴力破解的方式获取服务器密码后,远程登陆服务器。
3.回溯病毒事件可能原因
4.通过EDR微隔离勒索高危端口,并杀毒处置。
遗留内容 无
事件排查过程
2.1、异常现象确认
1)服务器被植入勒索病毒,文件被加密,加密文件的后缀为.Void,被加密文件后缀格式: 文件后缀被修改为[mail][id].void,根据加密后缀判断该勒索病毒VoidCrypt勒索病毒家族,暂时没有密钥对加密的文件进行解密。
本次中勒索病毒的有 1 台服务器,下面会进行溯源分析。
下图是服务器勒索病毒的截图,不同勒索病毒可能展现形式有一点区别,总体上都是文件加密+弹框勒索。
2)exe.txt.xlms等文件都被加密,加密后缀为.Viod
2.2、溯源分析过程
① 通过Everything工具搜索加密后缀,按照日期排序确定服务器最早于 2020年7月12日的 1点 32 分开始文件加密
②通过Autoruns开机启动项管理工具定位,黑客为了保持病毒能够开机启动、登录启动或者定时启动,通常会有相应的启动项,排查启动项,发现勒索弹窗进程为开机高可疑启动项,手动关闭。
启动项如下:
2.2) 进程分析——排查可疑进程,如svchost.exe 进程为windows主机进程,但如果主目录不对,即为可疑进程,手动结束进程,同时ServUDameon.exe的FTP进程存疑,因所有的exe已被加密,需做进一步的病毒查杀判处
③日志溯源是找到黑客登录方法及跳板机地址的最好办法,也是溯源过程中核心的一步,但是查看服务器日志发现7月14号(上门时间)之前的服务器安全日志已被黑客清除,内网也没有统一的日志留存设备,无法做进一步勒索溯源判处
下一步的工作就是做1安全加固2服务器异常进程清除3内网终端整体安全扫描加固
④服务器风险设置分析
1)开启远程桌面,且允许任意版本连接
2)服务器远程桌面被出口网关设备映射至公网,高风险项。
根据目前某公司安全服务团队接到的勒索病毒事件的处置情况来看,约95%的服务器勒索病毒事件是因为开放了3389端口导致,黑客通过暴力破解服务器登录密码,远程登录到服务器,之后植入勒索病毒;
3)查看本地开放端口,135,445,3389等高危端口正常开放
4)服务器之前MS17-010补丁没有打全——对比服务器中的勒索病毒补丁编号(如win2008R2补丁 KB4012212、KB4012215),没有发现KB4012215对应的补丁,该服务器未打全MS17-010补丁
2.3 病毒分析及查杀
使用Sangfor免疫工具扫描是否存在病毒样本,发现威胁病毒,确认残留为木马病毒(结合微步在线联合判处),非勒索病毒,此现象也很常见,大多数勒索病毒样本在执行文件加密后,会自动删除本体,这也是目前新拷贝文件到服务器不会被加密的原因
微步在线,云沙箱分析,残留病毒文件为木马病毒
3)本次同时搭建试用版企业级终端威胁响应,提供终端实时防护及病毒查杀,部分查杀效果图如下,提供威胁检测和智响应
应急响应事件结论
1.经事件分析,两台机器被植入的勒索病毒为VoidCrypt勒索家族,暂时没有密钥进行解密。服务器文件最早被加密的时间为2020年7月12日1点32分。造成被入侵的原因可能是该主机被爆破,通过映射到公网的3389端口进入被攻击服务器。
2.因服务器日志被清除,无法做进一步溯源,内网缺少日志统一留存设备。
3.缺少安全防护设备防护内网,安全防护能力薄弱。
4.除上述服务器中勒索病毒后,内网其它大部分服务器和PC通过安装某公司终端威胁响应EDR后查杀病毒,保障业务和用户的上网安全
存在的威胁
4.1、安全意识问题
1.内网安全防护不足,禁止安装一些反向代理工具,避免服务器留下危害较大的后门
2.不要随意点击不明软件、邮件附件或者链接
4.2、终端安全
定时更新微软补丁包,使主机存在安全隐患降低到最低。
安全加固和改进建议
5.1、系统加固建议
系统安全
1.继续定期增打系统补丁,升级中间件、服务器版本。
2.限制远程登陆空闲断开时间 - 对于远程登陆的账号,设置不活动超过时间 15 分钟自
动断开连接,
3.防病毒管理 - 安装企业级防病毒软件,并开启病毒库更新及实时防御功能。
4.服务安全 - 禁用 TCP/IP 上的 NetBIOS 协议,关闭无业务需求服务器的 UDP 137、
UDP 138、以及 TCP 139、445 端口。
5.共享文件夹及访问权限 - 非域环境中,关闭 Windows 硬盘默认共享,C$,D$。
6.跳板机机器的远程连接端口不对公网进行开放。
5.2、产品加固建议
1.部署可统一管控的企业级终端安全杀毒软件,如发现安全问题可一键下发病毒查杀扫描任务,及时清理病毒;
2.缺少安全防护设备做内网安全防护和威胁检测
3.缺少内网安全监控产品,未对主机的攻击流量进行监控,无法预知或发现安全隐患;
4.缺少漏洞扫描设备,未定期对内网环境进行漏洞扫描,未能及时修复漏洞,造成病毒肆意传播
补充:1.大部分勒索文件无法解密,所以我们应引导客户做好安全加固,溯源分析意义此时无实质意义,若客户有要求可按照
后文附件标准处置
遗漏点:客户反馈最初服务器密码被修改,通过破解进入发现被勒索加密,其实在日志被清理的情况下,可用netstat user定位
修改administrator的时间,也可做为溯源点
其中之前自己做的影子账户实验就是这个原理,后文可参考
1. 通过net user 创建隐藏账户 2. 并将隐藏账号加到administrators组 3.展开注册表[HKEY LOCAL MACHINE\ISAM\SAM],默认情况下这个项里没有任何内容,这是因 为用户对它没有权限。在这个项的右键菜单里,为administrator用户赋予完全控制权限。 4.在[SAM\Domains\Account\Users\Names]项里显示了系统当前存在的所有账户,选中我创建的wjl$, 在其右侧有一个名为“默认”,类型为“0x3eb"的键值。 其中的“3eb"就是wjl$用户SID的结尾,即RID使用十六进制表示。 在[SAM\Domains\Account\Users]里有一个以“3EB"结尾的子项,这两个项里都是存放了用户test$的信息。在这两个项上单击右键,执行“导出"命令,将这两个项的值分别导出成扩展名为.reg的注册表文件。
5. 然后删除隐藏账户,刷新注册表,发现上面两项都没了 6、下面再将刚才导出的两个注册表文件重新导入,此时在注册表里就有了wjl$账户的信息,但无论在命令行还是图形界面都无法看到这个账户,账户就被彻底隐藏了 7.使用这个隐藏账户可以登录系统,但缺点是仍然会产生用户配置文件,再对这个账户做进一步处理,以使之完全隐藏 展开到上面的注册表项中,找到administrator用户的RID值“1f4”,展开对应的“000001F4"项,其右侧有一个名为f的键值,这个键值中就存放了用户的SID。下面将这个键值的数据全部复制,并粘贴 到*000003EB"项的f键值中,也就是将administrator用户的SID复制给了wjl$,这样在操作系统内部,实际上就把wjl$当做是administrator, wjl$成了administrator的影子账户,与其使用同一个用户配置文件,wjl$也就被彻底隐藏了。
8. 通过本地命令行和本地用户组查看效果 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-7-24 14:07
发表于 2020-7-24 17:27
技术员2级 
