记一次 Phobos（Crysis变种） 勒索病毒 应急响应溯源

坚持学习，坚持打卡。。。。。。。

每天坚持打卡学习签到！！

第一章、应急现场概述

1、网络拓扑信息

无

2、攻击现场环境

操作系统：Windows

应用类型：OA系统

3、客户问题描述

主机ip/域名	A.B.0.1、A.B.0.2（密码一致）
入侵主机情况描述	入侵主机业务不可用，所有文件均变成一种格式
主要用途及应用	业务系统
行为表现	业务不可用
安全防护措施	服务器区域具备防火墙

4、事件处置结果

问题综述	服务器被植入勒索病毒，文件被加密，加密文件的后缀为Devos
处置结果	1.此次勒索病毒为Phobos（Crysis变种） 勒索病毒。 2.回溯勒索病毒事件
遗留内容	1. 系统重装 2. 东西向进行风险阻断

第二章、事件排查过程

1、异常现象确认

服务器被植入勒索病毒，文件被加密，加密文件的后缀随机8位数，根据勒索界面和加密后缀判断该勒索病毒为最新版本的勒索病毒Gandcrab5.1，该病毒暂时没有密钥对加密的文件进行解密。本次中勒索病毒的有两台主机，下面会逐一进行分析。

2、溯源分析过程

查看加密文件的生成时间，判断停车场被入侵的时间为9月29号凌晨0:52

通过分析系统日志得出，造成被入侵的原因是该主机被爆破，并在00:28:21时被***为登录，并且查看之前的日志，设备存在大量的爆破日志，已知设备一直再被爆破中，并且服务器使用密码为弱密码***

通过查看勒索病毒加密文件的时间发现，中控主机被勒索的时间为09月29号00:52:

查看该主机系统日志发现该主机存在被恶意ip大量爆破的行为。并在00:28:21时被主机182.16.103.68登录：

该主机用户名和密码被成功后黑客在00:52时植入勒索病毒，加密整个盘符相关文件。经过技术手段分析，并且查看凌晨相关文件发现如下可疑程序，其中Fast.exe为勒索病毒文件，NS v2.exe为内网扫描工具，通过内网扫描工具扫描到同段机器，A.B.0.2，并使用密码库进行登录并加密

查看出口映射，A.B.0.1的远程桌面端口3389被映射到公网。

第三章、应急响应事件结论

两台机器（A.B.0.1和A.B.0.2）被入的勒索都为勒索病毒为Phobos家族变种，暂时没有密钥进行解密。

由于A.B.0.1主机被映射到公网，将此公网23389映射到A.B.0.1上3389，从而导致A.B.0.2收到大量的暴力破解，造成被入侵的原因是该主机被爆破，并在00:28:23时被ip地址为182.16.103.68登录并植入勒索病毒。

由于A.B.0.2和A.B.0.1主机密码一致，所以A.B.0.1主机被登录过程中，此密码已加入勒索病毒库中，使用工具NS v2.exe进行内网扫描并进行横向传播。A.B.0.2在00:48分爆破登录时植入勒索病毒。

第四章、存在的威胁

1、安全意识问题

1.对内网安全不够重视，未充分考虑内网安全，导致病毒在内网肆意扩散。

2.对于内网主机的安全性不够重视，比如内网主机存在弱口令等。

3.高风险端口：***等高风险业务不建议映射再公司使用

2、终端安全

1.主机上未安装最新版/可统一管控的杀毒软件，未对主机进行病毒查杀；

第五章、安全加固和改进建议

1、加固建议

系统账号安全

1. 密码复杂度 - 最短密码长度要求八个字符，密码含有数字、大小写英文字母和特 殊字符。

2. 禁用Guest账号，禁用或删除其他无用账号。

3. 禁用**istrator账号，为跳板机用户专门设置新的账号。

4. 账号尝试登陆5次后将该账号进行封锁半小时不运行登陆的禁令。

运维安全

1. 公网只映射必要的业务端口，关闭其它映射，并再出口防火墙进行限制

2. 限制东西向访问，并通过服务器防火墙限制内网以及公网访问，仅允许堡垒机进 行设备运维

2、终端加固建议

1. 部署EDR终端防护软件，并进行定期杀毒以及基线核查

附件