×

【每日一记8】+第2天+Crysis勒索病毒处置
  

弓长先生丶 7800

{{ttag.title}}
1.1、网络拓扑信息
1.2、攻击现场环境
操作系统:Windowserver 2008
应用类型:OA
1.3、客户问题描述
  
主机ip/域名
  
1xxxxxxx
入侵主机情况描述
服务器被植入勒索病毒,文件被加密
主要用途及应用
公司OA系统
行为表现
服务器被植入勒索病毒,文件被加密
安全防护措施
出口华为防火墙
1.4、事件处置结果
  
问题综述
  
服务器被植入勒索病毒,文件被加密,加密文件的后缀为随机后缀13nln
处置结果
1.此次勒索病毒为最新的Crysis勒索病毒。
  2.
回溯勒索病毒事件
遗留内容
1.主机永恒之蓝补丁会打。
2.服务器可能存在弱口令。

第二章、事件排查过程
2.1、异常现象确认
服务器被植入勒索病毒,文件被加密,加密文件的后缀随机8位数,根据勒索界面和加密后缀判断该勒索病毒为最新版本的勒索病毒Crysis,该病毒暂时没有密钥对加密的文件进行解密。本次中勒索病毒的有两台主机,下面会逐一进行分析。

2.2、溯源分析过程
注:一般情况下,需要查看服务器的可疑进程、启动项、服务、浏览器历史记录、系统日志、应用日志、网络连接、可疑文件及日期等要素(如有发现,需截图留证)。
查看登录成功时间,判断OA被入侵的时间为2月18号凌晨4:41:49:

通过分析系统日志得出,造成被入侵的原因是该主机被爆破,并在9:17:30时被ip地址为xxxxx登录并植入勒索病毒:



并且通过技术手段检测,该主机未及时更新系统化补丁,导致存在严重系统漏洞补丁,具体漏洞编号为MS17-010。
查看该主机系统日志发现该主机存在被恶意ip大量爆破的行为。并在1:29:31时被主机xxxx登录:

该主机用户名和密码被成功后黑客在9:36时重新分配了特殊权限并且植入勒索病毒,加密整个盘符相关文件。经过技术手段分析,中控主机也存在未及时更新操作系统补丁,导致该主机存在MS17-010漏洞被黑客利用,导致病毒的传播。
使用火绒产品对该主机进行全盘扫描,发现该主机上还存在木马病毒文件,具体如下图所示:
第三章、应急响应事件结论
两台机器被入的勒索都为Crysis,暂时没有密钥进行解密。OA被入侵的时间为2月18号早晨4:36:56。造成被入侵的原因是该主机被爆破,并在9:36:13时被ip地址为1*2.1*8.*.1*登录并植入勒索病毒。经过检测该主机还存在严重系统漏洞补丁未打,漏洞编号为MS17-010。
中控主机被勒索的时间为2月18号4:36:12,该主机也被大量爆破。并在9:36:13时被主机1*2.1*8.*.1*登录。并在1:41时植入勒索病毒。经过分析该主机也存在上述主机的系统漏洞。进一步排查发现该主机还被植入了wanacry的变种,该变种会利用上述系统漏洞对内网所有主机进行漏洞攻击。
第四章、存在的威胁
4.1、安全意识问题
1.对内网安全不够重视,未充分考虑内网安全,导致病毒在内网肆意扩散。
2.对于内网主机的安全性不够重视,比如内网主机存在弱口令等。
3.内网终端映射3389端口50余条;
4.服务器区域未对进行防护;
4.2、终端安全
1.主机上未安装最新版/可统一管控的杀毒软件,未对主机进行病毒查杀;
2.主机未及时更新系统补丁,如MS17-010;
3.内网未部署漏洞扫描工具,无法得知哪些主机存在漏洞未修复等安全隐患。
4.终端存在较多XP系统、WIN7系统;
第五章、安全加固和改进建议
5.1、系统加固建议
账号安全
1.密码复杂度 - 最短密码长度要求八个字符,密码含有数字、大小写英文字母和特殊字符。
2.禁用Guest账号,禁用或删除其他无用账号。
3.禁用**istrator账号,为跳板机用户专门设置新的账号。
4.账号尝试登陆5次后将该账号进行封锁半小时不运行登陆的禁令。
系统安全
1.操作系统补丁管理 - 安装最新的操作系统Hotfix补丁。安装补丁时应对服务器系统进行兼容性测试。
2.限制远程登陆空闲断开时间 - 对于远程登陆的账号,设置不活动超过时间15分钟自动断开连接。
3.防病毒管理 - 安装企业级防病毒软件,并开启病毒库更新及实时防御功能。
4.服务安全 - 禁用TCP/IP上的NetBIOS协议,可以关闭监听的UDP137、UDP 138、以及TCP139端口。
5.共享文件夹及访问权限 - 非域环境中,关闭Windows硬盘默认共享,C$,D$。
6.跳板机机器的远程连接端口不对公网进行开放。
5.2、产品加固建议
1.部署可统一管控的终端安全杀毒软件,如发现安全问题可一键下发病毒查杀扫描任务,及时清理病毒。
2.缺少内网安全监控产品, 未对主机的攻击流量进行监控,无法预知或发现安全隐患;
3.缺少漏洞扫描设备,未定期对内网环境进行漏洞扫描,未能及时修复漏洞,造成病毒肆意传播。

110275ee0ef8ab6016.png (1.79 MB, 下载次数: 262)

110275ee0ef8ab6016.png

156095ee0efa2c10ff.png (630.66 KB, 下载次数: 251)

156095ee0efa2c10ff.png

打赏鼓励作者,期待更多好文!

打赏
5人已打赏

新手899116 发表于 2020-6-11 14:06
  
感谢分享
新手741261 发表于 2020-6-12 10:33
  
感谢分享
sangfor_闪电回_小六 发表于 2020-6-12 12:01
  
感谢楼主分享,沉淀技术,积累经验!坚持每日一记,赚额外成长收益!累计分享满2天可获得500s豆激励,累计满10天可获得2000s豆激励,更多累计奖励等你领取哦!继续加油~
【每日一记】第8期收益榜更新中>>
https://bbs.sangfor.com.cn/forum ... read&tid=110379
卢冰 发表于 2020-6-12 13:09
  
感谢分享
zwangxin 发表于 2020-6-12 13:51
  
感觉还是备份重要。安全感知必不可少。
新手780102 发表于 2020-6-12 14:36
  


感谢分享
司马缸砸了光 发表于 2020-6-12 14:46
  
感谢分享
JM 发表于 2020-6-12 14:53
  
感谢分享
新手978513 发表于 2020-6-12 15:02
  

感谢分享
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人