4、事件处置结果 | 服务器被植入勒索病毒,文件被加密,加密文件的后缀为Devos |
| 1.此次勒索病毒为Phobos(Crysis变种) 勒索病毒。
2.回溯勒索病毒事件 |
| |
第二章、事件排查过程
1、异常现象确认
服务器被植入勒索病毒,文件被加密,加密文件的后缀随机8位数,根据勒索界面和加密后缀判断该勒索病毒为最新版本的勒索病毒Gandcrab5.1,该病毒暂时没有密钥对加密的文件进行解密。本次中勒索病毒的有两台主机,下面会逐一进行分析。
2、溯源分析过程查看加密文件的生成时间,判断停车场被入侵的时间为9月29号凌晨0:52
通过分析系统日志得出,造成被入侵的原因是该主机被爆破,并在00:28:21时被***为登录,并且查看之前的日志,设备存在大量的爆破日志,已知设备一直再被爆破中,并且服务器使用密码为弱密码***
通过查看勒索病毒加密文件的时间发现,中控主机被勒索的时间为09月29号00:52:
查看该主机系统日志发现该主机存在被恶意ip大量爆破的行为。并在00:28:21时被主机182.16.103.68登录:
该主机用户名和密码被成功后黑客在00:52时植入勒索病毒,加密整个盘符相关文件。经过技术手段分析,并且查看凌晨相关文件发现如下可疑程序,其中Fast.exe为勒索病毒文件,NS v2.exe为内网扫描工具,通过内网扫描工具扫描到同段机器,A.B.0.2,并使用密码库进行登录并加密
查看出口映射,A.B.0.1的远程桌面端口3389被映射到公网。
第三章、应急响应事件结论两台机器(A.B.0.1和A.B.0.2)被入的勒索都为勒索病毒为Phobos家族变种,暂时没有密钥进行解密。
由于A.B.0.1主机被映射到公网,将此公网23389映射到A.B.0.1上3389,从而导致A.B.0.2收到大量的暴力破解,造成被入侵的原因是该主机被爆破,并在00:28:23时被ip地址为182.16.103.68登录并植入勒索病毒。
由于A.B.0.2和A.B.0.1主机密码一致,所以A.B.0.1主机被登录过程中,此密码已加入勒索病毒库中,使用工具NS v2.exe进行内网扫描并进行横向传播。A.B.0.2在00:48分爆破登录时植入勒索病毒。
第四章、存在的威胁
1、安全意识问题
1.对内网安全不够重视,未充分考虑内网安全,导致病毒在内网肆意扩散。
2.对于内网主机的安全性不够重视,比如内网主机存在弱口令等。
3.高风险端口:***等高风险业务不建议映射再公司使用
2、终端安全
1.主机上未安装最新版/可统一管控的杀毒软件,未对主机进行病毒查杀;
第五章、安全加固和改进建议
1、加固建议
系统账号安全
1. 密码复杂度 - 最短密码长度要求八个字符,密码含有数字、大小写英文字母和特 殊字符。
2. 禁用Guest账号,禁用或删除其他无用账号。
3. 禁用**istrator账号,为跳板机用户专门设置新的账号。
4. 账号尝试登陆5次后将该账号进行封锁半小时不运行登陆的禁令。
运维安全
1. 公网只映射必要的业务端口,关闭其它映射,并再出口防火墙进行限制
2. 限制东西向访问,并通过服务器防火墙限制内网以及公网访问,仅允许堡垒机进 行设备运维
2、终端加固建议
1. 部署EDR终端防护软件,并进行定期杀毒以及基线核查
附件
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-10-7 15:57
工程师1级 
