1.1 网络拓扑信息 1.2 攻击现场环境 操作系统:windows 7 sp1(主要) 业务概述:10.25.x.x这台工控机电脑,win7操作系统,主要跑的业务应用是收集空气质量检测数据,并上报给上级平台。 1.3 安全问题描述主机ip | | | 该主机被网监检测到存在勒索病毒扫描攻击行为,并且有攻击成功日志 | | | | | | | 1.4 应急需求描述Ø 清除恶意病毒/永恒之蓝等 Ø 主机业务恢复正常 Ø 识别当前安全风险 Ø 长期安全加固建议 2.1 事件处置情况2.1.1 问题现象举证 1. 到现场查看10.25.153.242这台主机基本信息如下: 2. cpu、内存使用率都在90%以上 3. 查看主机对135、137-139、3389等高危端口的监听情况,以及使用同网段主机进行端口扫描,发现这些高危端口都处于监听状态并且对外提供服务,风险性较高。 4. 查看管理员账号,发现没有配置密码,而且存在客户不清楚的账号k8h3d。 5. 主机自身防火墙未开启 6. 查看服务发现server、computer broser、print spooler、tcp/ip netbios helper都在启用,并且正常业务用不到这些。 2.1.2 事件处置过程1. 使用某公司专杀工具进行查杀病毒,并处置。附件为处置前的病毒报告。 以wannacry永恒之蓝病毒为例: 病毒文件创建时间为2020年11月26日15:06 以Trojan.Win32.WannaCry.mss病毒的文件qeriuwjhrf为例: 病毒文件创建于2020年12月2日11:52 2. 查看windows安全日志: 时间于步骤1中病毒创建时间可以匹配上。 3. 对病毒进行查杀处置后重启主机,再重新扫描,已处置掉当前全部威胁: 4. 针对当前主机操作系统打上永恒之蓝漏洞补丁和系统版本漏洞补丁(使用WIN7 SP1版本): 更新完成后重启主机生效: 可见KB4012212和KB4012215已经成功打上。 5. 使用脚本将135 137-139 445等高危端口 (3389原本没开)关闭后重启主机,重新在另一台主机上进行端口扫描,发现已经成功关闭,同时使用某公司勒索病毒免疫检测工具进行检测: 6. 将主机防火墙手动关闭 7. 将Administrator密码进行加固,将沟通确认后不知来源的账户k8h3d删除。 8. 还有另一台磐合pc,也进行了查杀处置,并且按照windows 基线进行了相应的加固。 3.1 事件分析结论1、 下一步要从整体网络环境建设上进行安全加固。单次处置短期内可控,但是长期风险还在,建议从根本上解决网络安全问题。 2、 主机所处网络环境安全建设能力不足,风险性高。 3、 主机可以直接上外网并且高危端口直接暴漏,网络环境中没有安全设备防护,受攻击可能性较大。 4、 主机自身防护性较差,不符合安全基线。并且没有有效的检测与杀毒软件,只有个人免费版腾讯qq管家,检测与处置能力不足。 2020年11月26日15:06与2020年12月2日11:52都有异常用户登陆记录,并且典型病毒文件创建时间也于此匹配。初步判断是从外网攻击进入,修改本地安全策略后将恶意文件放入C盘,再进行相应的攻击执行手段,导致该主机中勒索同时对其他主机进行恶意勒索扫描。 4.1安全整改建议4.1.1 技术加固建议 1) 定期对监测站主机操作系统进行漏洞补丁检测与加固。 2) 业务主机不建议直接将端口服务对外开放,高危端口应当进行封堵或者关闭服务。 3) 建议出口4G路由器或者猫使用防火墙进行替换,出口进行恶意行为封堵和拦截,这样对局域网整体安全建设也有保证。建议安装网页防篡改2.0客户端,使得服务器更加安全 4) 终端主机安装EDR,实时进行检测与防护,同时可以与出口防火墙进行联动。 4.1.2 安全管理建议1) 建议定期对主机进行安全评估,比如对主机进行基线检查,策略检查,病毒查杀,脆弱性评估,从而检测出主机存在的风险点,并且加以修复。 2) 定期对网络安全设备进行策略检查,确保设备在正常防护,确保设备防护规则库是最新并且有效。 3) 部署内网安全感知产品,及时内网失陷主机,避免产生更大安全风险 4) 建议事后进行整体的安全风险评估,识别网络中其他安全风险。 5) 加强运维人员安全意识培训。 6) 使用互联网业务安全监测,快速识别网站安全问题。 7) 定期开展应急演练工作。 5附:有个明显特征,就是创建了一个账户k8h3d,这个是“驱动人生”的病毒感染的典型特征。 |