某大厂勒索病毒处置流程外泄之第一部分应急响应（转）

某大厂勒索病毒处置流程外泄，因显示要过期删除，所以引用过来。因文章很长，分两部分介绍，这是第一部分。
原文连接：https://mp.weixin.qq.com/s/bUZmhvSJy2Pt960ELVipyA
原创 隐雾安全 2024-03-15 09:00 四川

目录

一、 勒索病毒发作的特征

二、 勒索病毒的应急响应

（一） 当在确定感染勒索病毒后，我们首先要对感染的服务器或终端进行断网隔离处理。采取以下措施：

（二） 针对勒索病毒的特征，如后缀名，勒索信等指纹特征，尝试确定勒索病毒所属家族，并查找是否存在解密的可能性。

（三） 断网隔离被感染的机器，进行以下排查工作：

1. 查看系统信息：

2. 排查CPU的占用情况，检查是否有异常高占用的进程。

3. 排查可疑进程：

4. 对检查到的异常进程进行停止

5. 排查自启动项

6. 检查是否存在未知的计划任务

7. 检查是否存在异常服务

8. 检查异常外链行为，检查是否存在高危端口的链接和与国外IP的链接。

9. 检查是否存在未知特权用户或者隐藏用户

10. 日志审查

11. 异常文件检查

12. 安装杀毒软件

三、 勒索病毒预防与事后加固

（一） 勒索病毒的预防措施：

1. 合理的网络隔离：

2. 严格且精准的访问控制：

3. 定期进行资产梳理：

4. 定期漏洞排查：

5. 身份鉴别:

6. 软件管理:

7. 供应链管理:

8. 部署专业网络安全产品:

9. 加强员工的网络安全意识:

10. 做好重要数据备份工作:

（二） 勒索病毒的事后加固

1. 利用备份数据进行恢复:

2. 恢复感染设备正常使用:

3. 进行完整的溯源:

4. 加强网络安全隐患修补:

5. 加强终端安全防护：

6. 构建内网威胁发现能力：

一、勒索病毒发作的特征

如果发现大量统一后缀的文件；发现勒索信在Linux/home、/usr等目录，在Windows 桌面或者是被加密文件的文件夹下。如果存在以上特征情况，证明感染了勒索病毒并且已经发作。

此时禁止插入U盘或者是硬盘等移动设备，因为部分勒索病毒可能会感染移动存储设备，盲目插入U盘或硬盘会使数据被加密，进一步扩大感染的范围。

二、勒索病毒的应急响应

（一）当在确定感染勒索病毒后，我们首先要对感染的服务器或终端进行断网隔离处理。采取以下措施：

1.已感染的用户，禁用网卡，同时拔掉机器的物理网线。

（Linux中ifconfig [NIC_NAME] Down或者ifdown [NIC_NAME]来禁用网卡）

（Windows以管理员身份执行命令行，输入netsh interface set interface “网络连接名字如：Ethernet0” disabled）

2.如果同一网段有多台机器感染，可通过交换机进行断网。

3.已感染关键岗位电脑和重要服务器，立即关机，避免勒索病毒进一步加密所有文件。

4.专人整理感染机器列表，供后续处置。同时可以通过使用专业的工具来提取勒索病毒文件名、文件路径、文件大小、文件签名、md5值、进程路径和名称等特征，使用域控、单机或专业桌面管理工具等进行操作，迅速进行全网排查。对存在感染勒索病毒特征的机器，进行断网隔离，并删除勒索病毒文件和进程，同时持续监控是否继续感染，防止病毒的感染范围进一步扩大。

（二）针对勒索病毒的特征，如后缀名，勒索信等指纹特征，尝试确定勒索病毒所属家族，并查找是否存在解密的可能性。

（https://noransom.kaspersky.com/ 卡巴斯基勒索病毒恢复网站）

（https://www.nomoreransom.org/ 国际刑警组织反勒索病毒网站）

同时还有一部分勒索病毒是加密原文件副本再删除原文件，而原文件有些会用随机数覆盖，有些并没有。原文件没有被覆盖的情况我们就可以通过数据恢复的方式进行恢复。除了收费的专业数据恢复可以尝试使用 DiskGenius 等工具扫描磁盘进行数据恢复。

（三）断网隔离被感染的机器，进行以下排查工作：

1.查看系统信息：

Linux命令:

lscpu查看CPU信息

uname -a 查看操作系统的相关信息

Windows命令：

在命令行输入msinfo32

2.排查CPU的占用情况，检查是否有异常高占用的进程。

Linux命令：

查看CPU占用率命令:top -ef | more

top -S：累计显示进程的 CPU 使用时间。

 top -p [PID]:仅显示指定进程ID的信息。

Windows命令：

查看CPU占用率：Win+r进入运行栏，输入resmon进入资源监视器，即可查看CPU占用情况。勒索病毒可能会占用较多的CPU资源，我们进行CPU占用率排查可以帮助我们快速定位。

3.排查可疑进程：

在成功入侵后，攻击者可以在计算机上开启专属的端口来访问被害主机或植入病毒，所以通过排查可疑端口能确定主机是否存在后门、是否被植入挖矿病毒等，再根据端口的PID对可疑进程对应的程序排查，确定是否为恶意程序。

Linux命令：

ps -ef | more

Linux的定位进程命令ps -ef | grep CMD

Windows命令：

netstat -ano | find “ESTABLISHED”

Windows使用如下命令来进一步定位:tasklist | find “5175（PID）”

4.对检查到的异常进程进行停止

Linux命令 ：

杀死进程的命令：kill -9 PID

Windows命令：

杀死进程，直接在资源监视器结束进程即可。

5.排查自启动项

自启动项是系统开机时在前台或者后台运行的程序，攻击者有可能通过自启动项使用病毒后门等实现持久化控制。

Linux命令：

ls -alt/etc/init.d

Windows命令：

Win+r进入输入栏，输入taskschd.msc，即可调出任务计划程序。

Win+r进入输入栏，输入powershell，进入powershell命令行页面，输入Get-ScheduledTask可以查看计划任务的路径，名称，状态。

6.检查是否存在未知的计划任务

计划任务是攻击者维持权限的常用手段。

Linux命令：

查看当前的计划任务 crontab -l

Windows命令：

Win+r在运行栏中输入taskschd.msc可以查看任务的名称，状态，触发器等信息。

Win+r输入Powershell，之后在Powershell命令行输入Get-ScheduledTask可以查看计划任务的路径，名称，状态。

7.检查是否存在异常服务

异常服务是攻击者维持权限的常用手段，我们要重点注意服务状态和启动类型，检查是否有异常服务。

Linux命令：

systemctl list-unit-files

Windows命令：

win+r调用出运行栏输入services.msc

8.检查异常外链行为，检查是否存在高危端口的链接和与国外IP的链接。

Linux命令：

netstat -tunlp

Windows命令：

netstat -ano

9.检查是否存在未知特权用户或者隐藏用户

Linux命令：

1.查看所有用户信息 cat /etc/passwd

用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell

最后显示的 /bin/bash 表示该用户可登录; sbin/nologin不可登录

2.root账户排查

输入命令 awk -F: ‘{if($3==0) print $1}’ /etc/passwd 可查询可登录账户 UID 为0的账户,root是 UID为0的可登录账户，如果出现其他为 0 的账户，就要重点排查

3.查看所有可登录账户

命令行输入 cat /etc/passwd | grep ‘/bin/bash’

4.查看最后登录用户以及相关日志

命令行输入 lastb可查看显示用户错误的登录列表，包括错误的登录方法、IP 地址、时间等

命令行输入 lastlog查看最后登录的日志信息

5.排查空口令账户

命令行输入 awk -F: ‘length($2)==0 {print $1}’ /etc/shadow

如果有用户是空口令就会显示出来

Windows命令

wmic useraccount get name,SID查看系统中的用户信息

黑客创建的某些隐藏账户通过dos指令无法发现， 但是当我们查看注册表时就可以发现；通过注册表检查是否存在账户名为“xxx$”或修改注册表创建的隐藏账户，再检查是否存在可疑账户，并进行禁用。

注册表路径：给SAM目录添加当前用户可读写属性

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

同时，在此项下导出所有以 00000 开头的项，将所有导出的项与 000001F4 (该项对应Administrator用户)导出内容做比较，若其中的 F 值相同，则表示可能为克隆账户！！！

图片

10.日志审查

Linux命令：

系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

日志默认存放位置：/var/log/

查看日志配置情况：more /etc/rsyslog.conf

日志文件

说明

/var/log/cron

记录了系统定时任务相关的日志

/var/log/cups

记录打印信息的日志

/var/log/dmesg

记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息

/var/log/mailog

记录邮件信息

/var/log/message

记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件

/var/log/btmp

记录错误登录日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看

/var/log/lastlog

记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件，不能直接vi，而要使用lastlog命令查看

/var/log/wtmp

永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看

/var/log/utmp

记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w,who,users等命令来查询

/var/log/secure

记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中

常用筛选命令：

grep命令详细；awk命令详细；uniq命令详细；sort命令详细；正则表达式详细

1.定位有多少IP在爆破主机的root帐号：

grep “Failed password for root” /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more

（从/var/log/secure中筛选文本中包含”Failed password for root”,输出secure中的第11行，进行去重，同时确认出现的次数。）

2.定位有哪些IP在爆破：

grep “Failed password” /var/log/secure|grep -E -o “(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)”|uniq -c

3.爆破用户名字典是什么：

grep “Failed password” /var/log/secure|perl -e ‘while($_=<>){ /for(.*?) from/; print “$1\n”;}’|uniq -c|sort -nr

4.登录成功的IP有哪些：

grep "Accepted " /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more

5.登录成功的日期、用户名、IP：

grep "Accepted " /var/log/secure | awk ‘{print $1,$2,$3,$9,$11}’

Windows命令：

Windows日志包含以下元素：日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。

包含三种日志类型

系统日志：记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。

默认：%SystemRoot%\System32\Winevt\Logs\System.evtx

应用程序日志：包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。

默认：%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志:记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

默认：%SystemRoot%\System32\Winevt\Logs\Security.evtx

常见的安全事件ID号

登录类型

其他一些应用的日志：

IIS日志位置：

%SystemDrive%\inetpub\logs\LogFiles

%SystemRoot%\System32\LogFiles\W3SVC1

%SystemDrive%\inetpub\logs\LogFiles\W3SVC1

%SystemDrive%\Windows\System32\LogFiles\HTTPERR

Apache日志位置：

/var/log/httpd/access.log

/var/log/apache/access.log

/var/log/apache2/access.log

/var/log/httpd-access.log

Nginx日志位置：

默认在 /usr/local/nginx/Togs 目录下，access.log 代表访问日志error.log 代表错误日志。若没有在默认路径下，则可以到nginx.conf 配置文件中香找。

Tomcat 日志的位置:

默认在 TOMCAT HOME/Logs/ 目录下，有 catalina.out、catalina.YYYY-MM- DD.og、localhost.YYYY-MM-DD.og.ocalhost access log.YYYY-MM-DD.txt、host-manager.YYYY-MM-DD.g、manager.YYYY-MM-DD.log 等几类日志。

WebLogic日志的位置:
在默认情况下，WebLogic 有三种日志，分别是 access og、server log 和 domain log

access.log

$MW_HOME\user_projects\domains\servers\logs\access.log

server.log

$MW_HOME\user_projects\domains\servers\logs.log

domain.log

$MW_HOME\user_projects\domains\servers\logs.log

11.异常文件检查

Linux命令：

1、查看敏感目录，如/tmp目录下的文件，同时注意隐藏文件夹，以“…”为名的文件夹具有隐藏属性

2、查找异常文件，可以使用find命令来查找，如 find /opt -iname “*” -atime 1 -type f 找出 /opt下,一天前访问过的文件

3、针对可疑文件可以使用stat filename查看文件的创建修改时间。

Windows命令：

查看最近修改的文件win+r进入运行栏，输入recent。

在搜索栏输入 *.后缀 即可搜索

12.安装杀毒软件

Liunx命令：

Clamav下载：http://www.clamav.net/download.html

安装教程参照如下：

https://blog.csdn.net/oracle_drower/article/details/134421075

https://blog.csdn.net/qq_39564555/article/details/123300014

Windows命令：

1.病毒分析

PCHunter：http://www.xuetr.com

火绒剑：https://www.huorong.cn

Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

processhacker：https://processhacker.sourceforge.io/downloads.php

autoruns：

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

OTL：https://www.bleepingcomputer.com/download/otl/

SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

2.病毒查杀

卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe（推荐理由：绿色版、最新病毒库）

大蜘蛛：http://free.drweb.ru/download+cureit+free（推荐理由：扫描快、一次下载只能用1周，更新病毒库）

火绒安全软件：https://www.huorong.cn

360杀毒：http://sd.360.cn/download_center.html

3.病毒动态

CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn

微步在线威胁情报社区：https://x.threatbook.cn

火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html

爱毒霸社区：http://bbs.duba.net

腾讯电脑管家：http://bbs.guanjia.qq.com/forum-2-1.html

4.在线病毒扫描网站

http://www.virscan.org //多引擎在线病毒扫描网 v1.02，当前支持 41 款杀毒引擎

https://habo.qq.com //腾讯哈勃分析系统

https://virusscan.jotti.org //Jotti恶意软件扫描系统

http://www.scanvir.com //针对计算机病毒、手机病毒、可疑文件等进行检测分析