记一次Windows勒索病毒应急响应实战

已于 2022-09-13 09:45:34 修改
阅读量4.8k 收藏 20
点赞数 6
分类专栏: 应急响应 文章标签: 系统安全 网络 安全
于 2022-09-04 22:01:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Canterlot/article/details/126695373
版权

查看本地用户,未发现异常:

打开任务管理器,发现可疑进程F.exe:

利用wmi查看进程信息,发现其位置在开始菜单启动项中:

C:\Users\gy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

同时,通过任务管理器,发现windows临时文件夹中也有该程序

通过测试可知F.exe为勒索病毒程序:

查看网络状态,除向日葵远控客户端外,未发现其余异常:

检查注册表,发现病毒文件被设置为开机启动

文件加密时间为20点29分

查看安全日志,发现从20点8分到32分有一串来自同网段kali(10.10.10.3)远程爆破记录

但并未发现爆破成功的日志(4624,类型3)

查看对应时间段应用日志,未发现远程桌面使用报告,但有大量跟系统安全相关的认证日志:

查看对应时间段系统日志,发现向日葵使用痕迹:

加密发生前五分钟,向日葵服务被安装

查看当天的向日葵日志:

发现在加密前五分钟启用了向日葵连接

发现向日葵RCE测试payload,攻击端为10.10.10.7,勒索病毒来源为10.10.10.3

总结:

攻击者先拿下了同网段的两台主机(10.10.10.3和10.10.10.7),先使用10.10.10.3对受害机(10.10.10.11)进行了爆破,未成功。然后通过端口扫描发现了受害机上的向日葵服务,并通过向日葵RCE控制受害主机下载并运行了存放在10.10.10.3上的勒索病毒。

Canterlot
关注
专栏目录
应急响应Windows应急响应手册(勒索病毒篇)
做自己喜欢的事,并将其发挥到极致!
07-19 145
本篇内容围绕勒索病毒事件进行分析,通过使用技术手段来确定勒索病毒家族并寻找解密方法,实战中过程中可参考文中部分内容提供一些帮助!
应急响应案例
qq_70434663的博客
09-18 672
通过以上分析,网页防篡改功能确实已经开启了但防护的仅仅只是WEB目录,经过验证后门是可以实现通过WEB跨目录到C盘下的操作的,入侵者也是利用了这点植入恶意的dll文件劫持IIS达到了篡改网站的目的,这点也说得通了为什么部署了网站防篡改后网页还是一样会遭受到篡改的原因。因为后门文件存在过于久远无法从现有的相关日志去进行溯源后门是如何被上传的,也从网络安全的管理人员的口中得知网站之前做过一次迁移估计是迁移前就存在了后门文件,随后删除了两个恶意dll文件重启IIS网站就得以恢复。
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场,应急响应教程参考链接:https://wxiaoge.blog.csdn.net/article/details/123897920?spm=1001.2014.3001.5502
应急响应勒索病毒-实战 案例一.【Windows 系统-排查和解密】
网络安全领域___专研者.
08-17 1159
勒索病毒是一种恶意软件,它通过加密用户的数据或锁定用户设备,然后要求用户支付赎金以解锁数据或系统。勒索病毒的入侵方式多样,包括网络共享文件、捆绑传播、垃圾邮件、水坑攻击、软件供应链传播、暴力破解、利用已知漏洞攻击和利用高危端口攻击等。
勒索病毒应急响应计划
01-16 851
故事发生背景:某市休日爆发大规模勒索病毒感染事件,该病毒利用系统漏洞进行传播,并产生一定的影响。 〇.演练开始前乙方协助做好模拟环境的搭建和部署。 一.演练开始 1.甲方下达开始指令,各负责人到位。 2.甲方启动“安全预警”预案等。(协助甲方开始自查等流程)。 二.启动病毒感染应急预案:(结合APT设备进行分析) 了解攻击发生的时间和现象,大致判断病毒类型...
应急响应】————3、勒索病毒
Fly_鹏程万里
02-22 1013
0x00 前言 ​ 勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。自WannaCry勒索病毒在全球爆发之后,各种变种及新型勒索病毒层出不穷。 0x01 应急场景 ​ 某天早上,网站管理员打开OA系统,首页访问...
一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序——事件复现(含靶场环境)
热门推荐
W小哥
04-02 1万+
一、事件背景 某天客户反馈:服务器疑似被入侵,与恶意IP进行通信(恶意IP用192.168.226.131代替)。(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中) 受害服务器: Centos系统、IP: 192.168.226.132、无WEB服务 二、应急响应过程 2.1 排查网络连接 2.2 排查历史命令 2.3 排查后门账户 2.4 排查crontab后门 2.5 排查是否有命令被替换 三、应急响应溯源 3.1 查看后门 3.2 排查安全日志 3.2 溯源总结 至此,应急响
应急响应实战.rar
02-14
应急响应实战,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
windows&linux&web安全应急响应实战
最新发布
09-18
这是一个关于安全事件应急响应的项目,从系统入侵到事件处理,收集和整理了一些案例进行分析。 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最...
网络安全事件应急响应实战
悦分享
09-14 1万+
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业。新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象。短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。
勒索病毒应急响应手册.pdf
08-28
勒索病毒应急响应手册
Emergency-Response-Notes:应急响应实战,一个安全工程师的自我修养
04-05
这是一个关于安全事件应急响应的项目​​,从系统入侵到事件处理,收集和整理了一些案例进行分析。 我将持续更新这份笔,希望能帮到有需要的人。 如果你看到好的案例,欢迎通过issue提交。 项目目录 [第一章:入侵...
QCC3040---message_.h文件
Andy的博客
12-17 276
QCC3040---message_.h文件 1、文件路径 os\src\fw\src\gen\customer\core\trap_api\message_.h 2、文件内容 Message identifier type. typedef uint16 MessageId; Message delay type. typedef uint32 Delay; Message type. typedef const void *M...
勒索病毒应急响应
weixin_45007073的博客
05-02 784
背景 正当我打游戏打得尽兴的时候,我舍友发信息过来,附带了一条勒索病毒信息。我的第一反应是:wcwcwc!!不会这么倒霉吧!信息上说只要支付相应的比特币金额,就能恢复数据。这你说给谁会信啊??!!同时也欢迎各位大佬对他的邮箱服务器发起社工攻击,为民除害。 我上网搜了下0.006比特币对应的人民币金额是多少?what??我那小小的数据竟然要支付两千多块钱来恢复?? 本来想先看看日志,搜寻一下是哪个IP发起的攻击。谁知道舍友说他移除了所有的docker容器并重装了docker服务!what??? 那既然这
应急响应——勒索病毒
2303_79592445的博客
07-09 172
先上搜索引擎上搜也可以用360来杀但是都无法解密可以解密的:linux。
勒索病毒应急响应及防护
Cwillchris的博客
01-04 5688
一、勒索病毒类型 1、加密勒索软件 它使个人文件和文件夹(文档、电子表格、图片和视频)被加密。 受感染的文件被加密后会被删除,用户通常会在当下无法使用的文件的文件夹中看到一个包含付款说明的文本文件。 当您尝试打开其中一个加密文件时,您才可能会发现问题。 某些(但非所有)类型的加密软件会显示“锁屏”: 2、锁屏勒索软件 - WinLocker WinLocker会锁定电脑屏幕并要求付款。 它会呈现一个阻止所有其它视窗开启的全屏图像。 没有个人文件被加密。 3、主引导录(MBR
网络安全应急响应----5、勒索病毒应急响应
七天
03-20 9435
文章目录一、勒索病毒简介二、常见勒索病毒三、勒索病毒常见利用漏洞四、勒索病毒的解密4.1、常见的可解密勒索家族类型4.2、处理勒索病毒常用工具五、勒索病毒的攻击5.1、勒索病毒的攻击方法5.2、勒索病毒的攻击特点六、勒索病毒应急响应方法6.1、隔离被感染的服务器/主机6.2、排查业务系统6.3、确定勒索病毒种类, 进行溯源分析6.4、处置勒索病毒6.4.1、文件检查6.4.2、补丁检查6.4.3、账号排查6.4.4、网络连接、进程、任务计划排查6.4.5、网络流量排查6.5、恢复数据和业务、清除加固七、勒
一次勒索病毒漏洞扫描发现过程
weixin_34092370的博客
05-14 464
2017年5月,勒索病毒爆发,主要是通过windows主机相应的漏洞进行感染录当时使用防火墙日志软件搜寻存在漏洞和疑似中毒的过程公网地址已经作废 某单位业务系统漏洞分析报告中青在线5月13日电(中国青年报·中青在线者潘圆)针对5月12日开始在全球爆发的Wannacry(永恒之蓝)勒索蠕虫***,今天国家网络与信息安全信息通报中心发布紧急通报。通报称,“我国部分Windows系列操作系统用户...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值