记一次 Phobos(Crysis变种) 勒索病毒 应急响应溯源
  

黄嘉琦长春办 195625人觉得有帮助

{{ttag.title}}
第一章、应急现场概述
1、网络拓扑信息
2、攻击现场环境
操作系统:Windows
应用类型:OA系统
3、客户问题描述
主机ip/域名
A.B.0.1A.B.0.2(密码一致)
入侵主机情况描述
入侵主机业务不可用,所有文件均变成一种格式
主要用途及应用
业务系统
行为表现
业务不可用
安全防护措施
服务器区域具备防火墙

4、事件处置结果
问题综述
服务器被植入勒索病毒,文件被加密,加密文件的后缀为Devos
处置结果
1.此次勒索病毒为Phobos(Crysis变种) 勒索病毒。
2.回溯勒索病毒事件
遗留内容
1. 系统重装
2. 东西向进行风险阻断

第二章、事件排查过程
1、异常现象确认
服务器被植入勒索病毒,文件被加密,加密文件的后缀随机8位数,根据勒索界面和加密后缀判断该勒索病毒为最新版本的勒索病毒Gandcrab5.1,该病毒暂时没有密钥对加密的文件进行解密。本次中勒索病毒的有两台主机,下面会逐一进行分析。
2、溯源分析过程
查看加密文件的生成时间,判断停车场被入侵的时间为929号凌晨0:52

通过分析系统日志得出,造成被入侵的原因是该主机被爆破,并在00:28:21时被***为登录并且查看之前的日志,设备存在大量的爆破日志,已知设备一直再被爆破中,并且服务器使用密码为弱密码***
通过查看勒索病毒加密文件的时间发现,中控主机被勒索的时间为092900:52:

查看该主机系统日志发现该主机存在被恶意ip大量爆破的行为。并在00:28:21时被主机182.16.103.68登录:


该主机用户名和密码被成功后黑客在00:52时植入勒索病毒,加密整个盘符相关文件。经过技术手段分析,并且查看凌晨相关文件发现如下可疑程序,其中Fast.exe为勒索病毒文件,NS v2.exe为内网扫描工具,通过内网扫描工具扫描到同段机器,A.B.0.2,并使用密码库进行登录并加密
查看出口映射,A.B.0.1的远程桌面端口3389被映射到公网。


第三章、应急响应事件结论
两台机器A.B.0.1A.B.0.2被入的勒索都为勒索病毒为Phobos家族变种,暂时没有密钥进行解密。
由于A.B.0.1主机被映射到公网,将此公网23389映射到A.B.0.13389,从而导致A.B.0.2收到大量的暴力破解,造成被入侵的原因是该主机被爆破,并在00:28:23时被ip地址为182.16.103.68登录并植入勒索病毒。
由于A.B.0.2A.B.0.1主机密码一致,所以A.B.0.1主机被登录过程中,此密码已加入勒索病毒库中,使用工具NS v2.exe进行内网扫描并进行横向传播A.B.0.200:48分爆破登录时植入勒索病毒。

第四章、存在的威胁
1、安全意识问题
1.对内网安全不够重视,未充分考虑内网安全,导致病毒在内网肆意扩散。
2.对于内网主机的安全性不够重视,比如内网主机存在弱口令等。
3.高风险端口:***等高风险业务不建议映射再公司使用
2、终端安全
1.主机上未安装最新版/可统一管控的杀毒软件,未对主机进行病毒查杀;

第五章、安全加固和改进建议
1、加固建议
系统账号安全
1. 密码复杂度 - 最短密码长度要求八个字符,密码含有数字、大小写英文字母和特 殊字符。
2. 禁用Guest账号,禁用或删除其他无用账号。
3. 禁用**istrator账号,为跳板机用户专门设置新的账号。
4. 账号尝试登陆5次后将该账号进行封锁半小时不运行登陆的禁令。

运维安全
1. 公网只映射必要的业务端口,关闭其它映射,并再出口防火墙进行限制
2. 限制东西向访问,并通过服务器防火墙限制内网以及公网访问,仅允许堡垒机进 行设备运维

2、终端加固建议
1. 部署EDR终端防护软件,并进行定期杀毒以及基线核查

附件

SFSS-ER-R0101 应急响应-XXX (2).zip

4.31 MB, 下载次数: 90

报告

evtxLogparse1.3.zip

5.32 MB, 下载次数: 78

windows日志查看

打赏鼓励作者,期待更多好文!

打赏
8人已打赏

灵峰气韵 发表于 2020-10-7 15:57
  
跟着好好学学
新手456962 发表于 2020-10-10 09:02
  
感谢分享
新手650001 发表于 2020-10-10 09:19
  
案例详细,学习
QQ小冰 发表于 2020-10-10 09:31
  
好好看,好好学
新手074116 发表于 2020-10-10 09:36
  
感谢分享
Jean_Zhj 发表于 2020-10-10 09:39
  
感谢分享,打卡学习。
阿飞007 发表于 2020-10-10 09:39
  
打卡学习!
新手564110 发表于 2020-10-10 09:45
  
感谢分享
酒慰风尘 发表于 2020-10-10 09:45
  
感谢分享
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

217
288
151

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人