三、被勒索主机本身可做的处置排查思路:
3.1、通过显示器接到失陷主机获取如下信息
3.1.1、被加密文件的文件修改时间---表示勒索事件发生时间,用于判断事件开始事件
3.1.3、检查勒索信---一般在桌面或者和被加密的文件附近,文件名一般为readme、info---用于勒索信息查询、溯源,其中一般都包含勒索者的邮箱或网站,可作为勒索家族的判断条件
3.2、清除当前主机存在的勒索文件(注意是指发起加密行为的恶意文件,不是被加密的文件)及进程
3.2.1、检查当前已失陷主机勒索行为是否还在进行---通过everything等工具搜索勒索文件名,将文件修改时间排序,看最新的文件修改时间是什么时候,这里的问题是如果everything软件已经被加密,或者通过U盘给电脑拷贝软件的时候U盘文件也立即被加密了该怎么办,这种情况就说明勒索行为还在继续,就需要先找到勒索的进程,先杀掉进程再往电脑拷贝文件
3.2.2、关闭勒索进程---通过任务管理器查找异常进程,比如本次案例勒索的进程就是很明显的叫fast.exe
根据名字去情报社区查找,有很多关于此名字的勒索帖子,那基本可以断定这就是勒索进程
这时候不要着急结束进程,先右键单击该进程,打开文件位置,找到该进程的原始文件,再结束进程,结束后再删除该文件。然后将u盘插到主机测试一下文件是否还会被加密,如果已不加密则可以拷贝everything、火绒等离线工具到主机进行后续排查,如果还在加密,说明还是没有找到最关键的加密进程,则继续手动排查---伴随加密进程的可能还有其他的扫描爆破的进程,当前一线人员的目标是确保关闭加密进程即可,只要能往主机中拷入杀软或者溯源工具正常执行,剩下的恶意文件交给工具自动处置就行。
3.2.3、临时病毒查杀,为避免影响后续溯源排查:通过火绒等可离线安装的杀软工具进行全盘扫描,切忌不要为了安装EDR就给主机连上了内网,一定要在离线状态消除本机存在的风险文件、进程,避免横向扩散,确保后续溯源排查工作不受影响,下图为查杀样例,杀软发现了在其他目录下也有fast.exe的文件,不止之前进程对应的一个fast.exe
-------------------------------------------------------------------------------------------------------------
4、事后勒索事件溯源思路:确认当前主机已无勒索加密行为,能够正常拷贝文件软件时,开始进行溯源工作
4.1、溯源思路:勒索一般是攻击者拿到一台主机的权限然后横向扫描爆破,所以思路就是根据这些扫描爆破的攻击痕迹找到最先被拿下权限的设备,然后再根据这台主机查找被攻击的切入点
4.1.1、检查失陷主机本身的日志,结合文件加密时间,看是否有远程登录的记录,检查这些记录的登录源IP,比如windows的安全日志,linux的log文件日志(攻击者可能会手动清除日志,导致查不到记录的情况,这时候需要看下设备是否有对结果日志审计,或者外发过syslog日志记录,可以查阅外部平台的记录作为佐证)
4.1.2、检查安全设备,比如防火墙、态势感知,看是否有暴力破解,telnet、rdp、ssh等各种远程登录的行为记录
4.1.3、如果失陷主机对接了日志审计设备,可以通过日审来看是否有远程登录的日志记录
4.1.4、根据以上信息明确当前主机的攻击来源,如果日志中攻击者是来自公网IP,则在防火墙、态势感知、流量审计设备进行确认,看此公网IP是否有攻击成功过其他主机,同时进行封禁
4.2、主机本身日志怎么查: 4.2.1、winodws日志:开始菜单搜索事件查看器-windows日志-安全-筛选当前日志-事件ID筛选4624或4625,这两个代码表示windows登录成功或失败
事件详情内有远程登录的信息,可根据此信息得出攻击者源IP
如果筛选不出来远程登录的日志,或者发现勒索事件发生的时间段没有日志,可以看下是否有日志清除记录,攻击者勒索之后可能会执行日志清除,这时在主机本身就不一定能获取到有价值的信息了;日志审计的重要性在此场景下就能体现了,如果对接了日审,可以借助日审查看日志。
4.2.2、linux安全日志目录:/var/log/secure 如下图显示有ssh登录记录
操作日志:直接执行命令history直接看执行过的命令,或者直接看源文件,history命令读取的源文件在用户目录下的隐藏文件.bash_history
以windows版本的工具举例效果如下图,在左上角输入勒索信的信息,工具就可以自动检索系统日志,得出攻击源猜测
-------------------------------------------------------------------------------------------------------------
5、最后输出溯源报告:报告核心内容如下
5.1、问题根因:给出排查思路及证据,攻击者是谁,怎么攻进来的,进来之后做了什么,以主机日志、安全设备日志作为证据
5.2、临时处置动作:溯源期间做过哪些安全策略调整、查杀动作等补救性措施
5.3、整改及优化建议:
5.3.1、业务访问优化建议:针对远程办公需求禁止直接映射3389、22等高危端口到公网,建议通过零信任、SSL VPN实现远程安全接入;
5.3.2、强化访问控制:尽可能关闭服务器的远程登录端口;如必要开启一定要设置具备高复杂度的密码;定期修改密码;建议采用双因素认证等额外安全措施;使用EDR的远程登录二次认证功能;
5.3.3及时更新和修补漏洞:定期更新操作系统、应用程序的版本;定期进行漏洞扫描,及时修复已知漏洞;
5.3.4、网络分段隔离:将网络划分成多个安全区域,加强横向的网络访问控制策略,限制不同区域之间的通信,最小化横向渗透的风险;
5.3.5、完善日志管理制度:利用日志审计等日志存储设备,及时备份主机日志,长时间留存日志,定期审查和分析日志,及时发现潜在攻击痕迹并及时采取措施应对;
5.3.6、强化流量监测:利用流量分析、态势感知类监控设备监控全网流量,强化东西向流量的监控能力;
5.3.7、数据备份:定期备份关键数据,并验证备份数据的完整性,建立可靠的离线备份存储;被勒索后可以利用备份数据快速恢复受影响的业务系统;
5.3.8、建立多层防御机制:利用防火墙、入侵检测设备、反病毒软件等,形成多层次的安全防护体系。有效监控和阻断恶意行为;
5.3.9、加强供应链安全:与供应商建立安全合作关系,确保其交付的硬件和软件产品是可信安全的,对业务供应链中的各个环节进行审查和监控,避免受到来自供应链方面切入的攻击;
5.3.10:建立应急响应机制:制定完善的应急响应计划,包括预设步骤、责任分工和应急演练。在发生安全事件时,能够迅速应对和应急处理,最大限度地减少损失和影响
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-10-19 15:07
技术研究员1级 
