事件原因分析
某天客户反馈:服务器疑似被入侵,风扇噪声很大。
根据管理员的描述,推测为有挖矿病毒,勒索病毒,拒绝服务攻击等可能。
事件影响分析
打开任务管理器,查看cpu和内存占用率,发现占用率过大
转到任务管理器中的进程,发现应该名为javs.exe的程序占用大量内存,非常可疑。
右键该应用程序,追踪到它的位置
右键查看应用程序的属性
发现该应用程序的创建时间晚于修改时间,很明显是先做好然后被人上传到主机上的。
直接将文件下载下来,放到微步在线分析平台上分析。确定是恶意文件。
打开javs.exe分析一下,发现它从mine.c3pool.com在下载东西,确定是挖矿病毒。
已经确认挖矿病毒,现在来找一下它的上传路径,使用D盾扫描一下主机开启的端口。
发现3389远程端口开启了,看一下日志有没有暴力破解的可能。
查找4625登陆失败,发现在2022/3/21号出现了大量的登陆失败,而且时间与文件修改时间相差不大,查看2022/3/21日的日志,发现有登陆成功,确认攻击者是通过3389成功进行暴力破解,并且找到了疑似攻击者的IP地址
再顺着日志分析,发现攻击者登陆成功后进行了创建特权用户的行为
进入cmd命令行输入net user查看用户,发现并没有多余的可疑用户
打开注册表进行排查,发现了隐藏用户wxiaoge,应该是一个影子账户
使用D盾进行扫描,果然,是一个克隆了管理员权限的用户。 这时,我们发现刚才关闭的javs.exe程序又开始运行,怀疑攻击者添加了定时任务。打开计算机管理查看任务计划程序,发现javs.exe果然被添加了定时任务。
最后,使用安全软件扫描一下,确认有没有遗漏的排查项。
扫描后,发现还有一个文件映像劫持,打开提示的注册表路径,发现是shift粘连键的注册表项,尝试连续按shift,打开了cmd命令提示符,攻击者把粘连键改为了弹出cmd,留下了后门,这个方法在未登录界面也可以唤出cmd界面,危害性极大。 处置方法 在事件分析中,我们发现了暴力破解,挖矿木马,定时任务,shift粘连键后门等攻击行为,现在逐一进行处理。 暴力破解 修改当前主机的登陆密码,修改为强密码。 封堵进行暴力破解的IP。 删除攻击者创建的克隆账户。 挖矿木马 在确认病毒为挖矿木马后,应第一时间隔离主机,防止感染其他主机。 对挖矿病毒进行根除,推荐使用查杀软件进行根除,若无法清除,重装操作系统。 定时任务 删除定时任务 Shift粘连键 删除粘连键后门 事后处置 |
一暴力破解 对于暴力破解,最简单的方法就是关闭3389端口,不使用远程桌面服务,但是如果有必须的业务开展需要使用3389端口的话我们可以: 设置密码策略强制用户使用长而复杂的密码。 并强制定期更改密码。 进行锁定策略,输错密码几次就进行一段时间的锁定。
在注册表(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp)修改远程桌面端口不为3389。
通过防火墙设置特定的IP才允许连接远程桌面。 |
二、挖矿木马 1.安装安全防护软件并升级至最新病毒和规则库,定期检测计算机、服务器安全状况,定期全盘扫描,保持实时防护。安全检测范围包括但不限于: (1)是否有新增账户、未知进程; (2)定期检查系统安全日志,查看是否存在异常; (3)安全防护软件是否存在异常拦截情况。
三、定时任务 定时查看定时任务,排除可疑的定时启动进程。 四、shift粘连键 如果系统盘为NTFS文件系统,可以将sytem32下的sethc.exe文件设为everyone拒绝访问,或者直接将其删除,最好的方法是在控制面板-辅助功能选项-粘滞键选项,将“使用快捷键”取消即可。 本事件防护和处置建议 一暴力破解 对于暴力破解,最简单的方法就是关闭3389端口,不使用远程桌面服务,但是如果有必须的业务开展需要使用3389端口的话我们可以: 在人的层面 要求工作人员提升密码的长度和复杂度。 在不同的地方要使用不同的密码。 避免使用非机密的个人信息作为密码。 定期修改密码。 在系统层面 设置密码策略强制用户使用长而复杂的密码。 并强制定期更改密码。 进行锁定策略,输错密码几次就进行一段时间的锁定。 在注册表修改远程桌面端口不为3389。 通过防火墙设置特定的IP才允许连接远程桌面。 挖矿木马 1.安装正版操作系统,及时更新操作系统补丁。 2.安装安全防护软件并升级至最新病毒和规则库,定期检测计算机、服务器安全状况,定期全盘扫描,保持实时防护。安全检测范围包括但不限于: (1)是否有新增账户、未知进程; (2)定期检查系统安全日志,查看是否存在异常; (3)安全防护软件是否存在异常拦截情况。 3.多台终端设备不要使用相同的账号和口令,登录口令要有足够长度和复杂性,并定期更换登录口令。 4.从正规渠道下载安装软件,不安装未知来源的第三方软件,不点击未知的链接。 5.不打开来源不明的文档、邮件、邮件附件等。 6.不浏览被安全软件提示为恶意或存在风险的网站。 7.不使用未经杀毒的U盘、移动硬盘等存储设备。 8.开启防火墙,服务器配置访问控制,仅允许授权IP地址访问。 9.不共享使用上网账号,避免使用远程控制类软件,非必要不通过远程手段控制主机。 10.如无法自行处理“挖矿”木马,尝试备份必要文件并重装正版操作系统。 三、定时任务 定时查看定时任务,排除可疑的定时启动进程。 四、shift粘连键 如果系统盘为NTFS文件系统,可以将sytem32下的sethc.exe文件设为everyone拒绝访问,或者直接将其删除,最好的方法是在控制面板-辅助功能选项-粘滞键选项,将“使用快捷键”取消即可。 |