关注WX:【小白SEC】查看更多内容……
Windows应急响应练习-勒索病毒篇1
此文章参考真实Windows服务器被勒索病毒威胁,在本地搭建测试环境,使用相应的勒索病毒,为防止病毒扩散,此处不提供测试环境与病毒
测试环境:Windows Server 2008
描述
登录服务器后,发现桌面打开弹窗,所有文件都被加密,初步判断,服务器遭受勒索病毒攻击
排查
目前阶段无法判断勒索病毒是通过何种方式进入服务器,所以只能按照常规进行逐一判断,
-
与客户沟通
通过与客户沟通,近期未使用特别文件,未进行软件安装下载 -
基础信息收集
主机信息:【运行】-【cmd】-【systeminfo】(此图为本地搭建虚拟测试服务器,非真实环境)
网络信息收集:【ipconfig】
进程联网查看:【netstat -bno】,此命令发现无异常连接状态(此图为本地搭建虚拟测试服务器,非真实环境)
异常端口查看:【netstat -ano】,此命令发现无异常连接状态,但是服务器开放135、445、3389端口,此处留意,继续进行下一步
进程查看:【tasklist /svc】,此命令发现异常进程【v.exe】(此过程可借助分析工具:火绒剑等)
-
定位病毒位置
查到特殊进程,为避免误判断,将文件提取,利用在线勒索病毒查杀进行自动分析,经分析服务器所中病毒为WannaRen,(我使用多个引擎检查出来为不同的并对家族,是否可以修复待测试)
此处列举部分:
在线勒索病毒搜索引擎:
360:https://lesuobingdu.360.cn/
腾讯:https://guanjia.qq.com/pr/ls/
深信服:https://edr.sangfor.com.cn/#/information/ransom_search
……
也可以在沙箱里面进行测试安装,查看报告
在线沙箱:
微步云沙箱:https://s.threatbook.cn/
360沙箱云:https://ata.360.net/detection -
手动分析
在线分析过程中,手动排查是否有定时任务- 【msconfig】启动项检查:【运行】-【msconfig】,查到有四个启动项为V.exe
- 注册表启动项检查:还可以查看注册表中是否存在异常启动(具体可自行百度)
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnece
都发现存在V.exe启动项
- 【msconfig】启动项检查:【运行】-【msconfig】,查到有四个启动项为V.exe
-
可以确定病毒
溯源
此病毒是从何而来,之前判断非管理员从病毒文件中毒,也非恶意软件中加载,之前检查服务器有开放3389端口,经过询问得知,3389端口被映射到公网上,方便远程使用,判断是否为攻击者进行RDP爆破登录
查看近期登录日志:
【运行】-【eventvwr】-【Windows 日志】-【安全】-【筛选】:
检查是否有登录失败,事件ID为【4625】
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
查到在21:27分开始有246条登录失败事件,判断服务器在被爆破
检查是否有登录成功,事件ID为【4624】
此处日志在实验环境中不小心被我清除,所以无法配图
根据判断,攻击者是在爆破拿到密码后进行远程登录植入病毒
修复
- 结束进程
- 删除启动项
- 删除对应程序
- 安装杀毒软件,进行全盘扫描
- 尝试使用解密工具解密服务器内文件(可以多尝试几个,如果依旧无法解密则服务器有备份还原点则提前还原,无还原点则没办法
建议
- 远程端口非必要不要直接映射到公网
- 关闭445、135等无用端口
- 安装杀软,并及时更新漏洞库、规则库等
- 及时进行系统补丁修复
文中所用解密工具,微信公众号【小白变身】回复【勒索解密】获取。
本文仅用于应急响应训练参考,请勿用于其他用途