#干货满满# 安服应急响应学习笔记及勒索病毒应急处置案例

安服应急响应学习笔记及勒索病毒应急处置案例

一、安服应急响应学习笔记

1、病毒应急响应

2、常见应急工具

3、常见病毒处置

二、勒索病毒应急处置案例

1、应急响应事件结论

攻击者IP地址10.110.8.4针对主机192.168.2.16进行暴力破解攻击，并在2021年11月4日 11:27:15使用test账号成功爆破远程登录系统。在2021年11月4日 11:29:28上传了ProcessHacker.exe工具，并运行ProcessHacker.exe强制关闭了火绒杀毒软件，然后在2021年11月4日 11:33:12创建了artifact.exe，并执行了该木马程序。然后在在2021年11月4日11:46:38对主机上的文件进行了加密。

2、异常现象确认

（1）登录主机系统查看到有被勒索提示信息，如下图所示：

（2）查看桌面文件发现被加密，并且后缀为.eking，以及存在info.txt文件，打开info.txt文件查看留有勒索病毒邮箱。

（3）通过勒索病毒搜索引擎，进行搜索.eking，判断勒索病毒为Phobos家族勒索病毒，并且暂解密工具，传播投放的方式一般为RDP爆破+人工的方式，后续可重点查看RDP相关日志。如下所示：

3、溯源分析

注：一般情况下，需要查看服务器的可疑进程、启动项、服务、浏览器历史记录、系统日志、应用日志、网络连接、可疑文件及日期等要素。

（1）查看加密文件的生成时间，判断主机被入侵的时间在2021年11月4日，11:46:38之前，如下图所示：

（2）使用启动项工具Autoruns查看任务启动项，发现可疑启动项1.exe，如下图所示：

查任务计划和服务均为发现异常可疑项。

（3）登录系统火绒提示1.exe为病毒文件，查看火绒病毒查杀日志，基本确认上面启动看到的1.exe为病毒启动项。

（4）使用userassistview日志分析工具进行分析，查看1.exe运行时间为2021年11月4日 11:34:21，发生在加密之前，并且在运行1.exe之前并运行artifact.exe和ProcessHacker.exe。所以初步判断攻击者2021年11月4日 11:29:28上传了ProcessHacker.exe工具，并运行ProcessHacker.exe强制关闭了火绒杀毒软件，然后执行了artifact.exe木马程序。如下图所示：

（5）使用everthing工具进行搜索artifact.exe，发现在Windows目录下

并且文件创建时间在2021年11月4日 11:33:12

（6）把artifact.exe上传到微步沙箱进行分析，发现为木马恶意程序，如下图所示：

（7）查看Windows安全日志，发现2021年11月4日 11:49:22清除了Windows日志信息，如下图所示：

（8）查看Windows远程桌面应用连接日志，发现在2021年11月4日 11:27:15，可疑IP地址10.110.8.4使用test账号远程成功登录，如下图所示：

（9）查看火绒杀毒软件，发现有IP地址10.110.8.4暴力破解攻击拦截告警信息，如下图所示：

（10）查看系统端口发现3389开启状态，并且查看MS17-010补丁未打，如下所示：

4、事件应急处置

（1）删除恶意启动项

（2）删除恶意程序

（3）使用火绒进行全扫描清理病毒

5 安全现状

（1） 安全意识问题

1) 对内网安全不够重视，未充分考虑内网安全，导致病毒在内网肆意扩散；

2) 对于内网主机的安全性不够重视，比如内网主机存在弱口令等。

3) 开放非必要端口

（2） 终端安全

1) 主机上未安装最新版/可统一管控的杀毒软件，未对主机进行病毒查杀；

4) 主机未及时更新系统补丁，如MS17-010；

5) 内网未部署漏洞扫描工具，无法得知哪些主机存在漏洞未修复等安全隐患。

6 安全加固和改进建议

（1）  系统加固建议

账号安全

1) 密码复杂度 - 最短密码长度要求八个字符，密码含有数字、大小写英文字母和特殊字符。

2) 禁用Guest账号，禁用或删除其他无用账号。

3) 禁用administrator账号，为跳板机用户专门设置新的账号。

4) 账号尝试登陆5次后将该账号进行封锁半小时不运行登陆的禁令。

系统安全

1) 操作系统补丁管理 - 安装最新的操作系统Hotfix补丁。安装补丁时应对服务器系统进行兼容性测试。

2) 限制远程登陆空闲断开时间 - 对于远程登陆的账号，设置不活动超过时间15分钟自动断开连接。

3) 防病毒管理 - 安装企业级防病毒软件，并开启病毒库更新及实时防御功能。

4) 服务安全 - 禁用TCP/IP上的NetBIOS协议，可以关闭监听的UDP 137、UDP 138、以及TCP 139端口。

5) 共享文件夹及访问权限 - 非域环境中，关闭Windows硬盘默认共享，C$，D$。

6) 跳板机机器的远程连接端口不对公网进行开放。

（2）  产品加固建议

1) 部署可统一管控的终端安全杀毒软件，如发现安全问题可一键下发病毒查杀扫描任务，及时清理病毒。

2) 缺少内网安全监控产品， 未对主机的攻击流量进行监控，无法预知或发现安全隐患；可以增加安全态势感知平台对内网安全态势进行实时分析。

3) 缺少漏洞扫描设备，未定期对内网环境进行漏洞扫描，未能及时修复漏洞，造成病毒肆意传播。

4) 部署备份一体机针对重要的数据进行异地备份。

每天学习一点，每天进步一点。

每天学习一点，每天进步一点。

每天学习一点，每天进步一点。

每天学习一点，每天进步一点。

每天学习一点，每天进步一点。

每天学习一点，每天进步一点。

每天学习一点，每天进步一点。

每天学习一点，每天进步一点。