应急响应-技术操作指南

最新推荐文章于 2024-05-21 09:30:16 发布

岁月冲淡々

最新推荐文章于 2024-05-21 09:30:16 发布

阅读量915

点赞数 17

分类专栏：应急响应文章标签：安全网络

本文链接：https://blog.csdn.net/qq_50765147/article/details/135996912

版权

应急响应专栏收录该内容

31 篇文章 1 订阅

订阅专栏

当发生应急响应事件时，应急响应工程师需要对勒索病毒事件进行初步判断，了解事态现状、系统架构、感染时间等，并确定感染面；还要及时提供临时处置建议，对以“中招”服务器/主机下线隔离，对未“中招”服务器/主机做好防护。

在完成了勒索病毒事件判断及临时处置后，需要针对勒索病毒的服务器/主机展开检查工作，检查主要围绕系统和日志两个层面展开。系统层面主要包括是否有可疑账号、可疑进程、异常的网络连接、可疑任务计划、可疑服务及可疑启动项，确认加密文件是否可以解密；日志层面主要包括安全日志是否有暴力破解记录、异常IP地址登录记录，对感染的服务器\主机展开溯源分析工作，串联异常登录IP地址情况，最后定位攻击的突破口。

在检查完成后，需要对服务器/主机进行抑制和恢复。主要包括对检查过程中发现的恶意账号、进程、任务计划、启动项、服务等进行清理，删除恶意样本。对系统进行补丁更新，使用高复杂强度的密码，并安装杀毒软件进行防御，部署流量监测设备进行持续监测。如果被加密的数据比较重要，也可以解密或恢复数据

初步判断

如何判断遭遇勒索病毒攻击

实施勒索病毒攻击的主要目的是勒索，攻击者在植入病毒、完成加密后，必然会提升受害者文件已经被加密且无法打开，需要支付赎金才能恢复。因此，勒索病毒攻击有明显区别于一般病毒攻击的特征，如果服务器/主机出现以下特征，即表明已经遭遇勒索病毒攻击。

业务系统无法访问

勒索病毒的攻击不仅加密核心业务文件，还对服务器和业务系统进行攻击，感染关键系统，破坏受害机构的日常运营，甚至还会延伸至生产线（生产线不可避免的存在一些遗留系统且各种硬件难以升级打补丁，一旦遭到勒索病毒攻击，生产线将停工停产）。

文件名后缀被篡改

操作系统在遭遇勒索病毒攻击后，一般受害者中的可执行文件、文档等都会被病毒修改成特定的后缀名。如图所示，文件的后缀名未.bomber。

勒索信展示

“中招”勒索病毒后，受害者通常会在桌面或者磁盘根目录找到勒索信。勒索信的内容通常包含计算机被加密的提示信息、如何支付赎金的信息、支付赎金的剩余时间等，并提供多种语言的选项，以便受害者了解具体情况。
图为GlobeImposter勒索信，该勒索信包含了计算机文件被加密的提示信息、如何获得解密程序、如何发送包含个人ID的测试邮件给指定邮箱、如何支付赎金等内容。

图为WannaCry勒索信，该勒索信包含了计算机文件被加密的提示、恢复文件的方法、付款的地址和付款的剩余时间等信息。

桌面有新的文本文件

“中招”勒索病毒后，除会弹出勒索信内容外，一般在桌面还会生成一个新的文本文件，文件内容主要包括加密信息、解密联系方法等内容。图为生成的文本文件内容。

了解勒索病毒加密时间

Windows

在初步预判遭遇勒索病毒攻击后，需要了解被加密文件的修改时间及勒索信建立时间，以此推断攻击者执行勒索程序的时间轴，以便后续依据此时间进行溯源分析，追踪攻击者的活动路径。图是Windows系统中判断时间的方法，通过文件修改日期可以初步判断加密时间为2018/11/6 15:15。

Linux

如果是Linux系统，可以执行命令【stat】，并查看Access（访问）、Modify（内容修改）、Change（属性改变）三个时间。此时需要重点关注内容修改时间和属性改变时间，根据这两个时间节点可以判断是否存在系统文件被修改或者系统命令被替换的可能，同时为判断文件加密时间提供依据。
图为使用【stat /etc/passwd】命令后，查看到的文件具体时间。

了解中招范围

可以通过安装集中管控软件或全流量安全设备来查看“中招”范围。还可以通过IP系统管理员收集网络信息，首先检查同一段服务器、主机，在拓展到相邻网段进行排查、同时也可以收集企业内部人员的反馈信息来进行补充，以便全面掌握“中招”范围。

了解系统架构

通过了解现场环境的网络拓扑、业务架构及服务器类型等关键信息，可帮助应急响应工程师在前期工作中评估病毒传播范围、利用的漏洞，以及对失陷区域做出初步判断，为接下来控制病毒扩散与根除工作提供支撑。
表为某应用系统的资产信息表，可参照此表对前期系统架构进行初步了解，包括操作系统版本、开放端口、中间件类型、Web框架等，从而判断应用或中间件是否存在漏洞。

典型案例

2019年10月11日9时，某企业IT管理员发现多台主机开机后弹出勒索信，并且感染主机的数量还在不断增加，因此立刻寻求应急响应工程师处置。应急响应工程师到达现场后，发现主要感染对象是Windows操作系统，感染文件后缀为.666deccrypt666、.auchentoshan、.[动物名称或其他单词]444、.walker、.ppam，并且弹出如图所示勒索信。综合被加密主机勒索信及加密文件后缀，初步判断主机感染GlobeImposter勒索病毒。

随后，查看被加密文件的修改日期，发现文件修改日期为2019/10/11 4:56，即勒索加密时间，如图所示。

为了防止病毒迅速扩散，应急响应工程师迅速了解“中招”主机的网络环境，发现总部内网与各地市分公司网络处于同一业务专网内，出总部外，还有三个地市分公司受到影响。因此，应将感染区域及时做断网处理，了解网络内部环境部署并及时更新网络策略，防止病毒进一步蔓延至关重要。

临时处置

通过现状调研，可基本判断勒索病毒是否为误报，掌握勒索病毒的的名称、版本及感染数量等内容。接下来需要对被勒索病毒进行初步的排查和临时处置工作，并针对现状制定解决方案。
为及时减少因勒索病毒导致的业务终端可能造成的负面影响，避免勒索病毒横向扩散，在确认服务器/主机感染勒索病毒后，应立即隔离被感染服务器/主机。
针对现场以“中招”服务器/主机、未“中招”服务器/主机及未明确是否“中招”的服务器/主机进行临时处置。

针对已“中招”服务器/主机

物理隔离

物理隔离常用的操作方法是断网和关机
断网的主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需要关闭无线网络。

访问控制

访问控制常用的操作方法是加策略和修改登录密码。
加策略的主要操作步骤包括：在网络侧使用安全设备进行进一步隔离，如使用防火墙或终端安全检测设备；避免将远程桌面服务器（RDP，默认端口为3389）暴露在公网中（如为了使远程运维方便确有必要开启，则可通过VPN登录后访问），并关闭445、139、135等不必要的端口。
修改登录密码的主要操作步骤包括：第一，立刻修改被感染服务器/主机的登录密码；第二，修改同一局域网下的其他服务器/主机的登录密码；第三，修改最高级系统管理员账号的登录密码。修改的密码应为最强度的复杂密码，一般要求采用大小写字母、数字、特殊符号混合的组合结构，密码位数要足够长（15位、两种组合以上）。

针对未“中招”服务器/主机

在网络边界防火墙上全局关闭3389端口，或3389端口只对特定IP地址开放；
开启windows防火墙，尽量关闭3389、139、135等不用的高危端口；
每台服务器/主机设置唯一登录密码，且密码应为高强度的复杂密码，一般要求采用大小写字母、数字、特殊符号混合的组合结构，密码位数要足够长（15位、两种组合以上）；
安装最新杀毒软件或服务器加固版本，防止被攻击；
对系统进行补丁更新，封堵病毒传播途径；
若现场设备处于虚拟化环境下，则建议安装虚拟化安全管理系统，进一步提升防恶意软件、防暴力破解等安全防护能力。

针对未明确是否“中招”的服务器/主机

在现场处置排查过程中，可能会遇到这样一种情况，内存中存在已感染勒索病毒的服务器/主机，但是也存在未开机的服务器/主机，未开机的服务器主机暂时无法明确是否已感染勒索病毒。针对这种情况，可执行以下操作进行确认
对于未明确是否已感染勒索病毒的服务器/主机，需要对服务器/主机座策略隔离或者断网隔离，在确保该服务器/主机未连接网络的情况下，开启检查。

系统排查

应急响应工程师需根据服务器/主机操作系统的版本不同的排查分析，确定感染时间和感染途径并及时遏制。
注意：若涉及溯源和证据固定，则以下所有排查确定的可疑对象需提前做好备份准备，涉及的可疑系统用户组可先进行禁用操作，防止出现可疑内容删除而无法溯源和提供证据的情况发生。

文件排查

勒索病毒文件产生的时间通常都比较接近勒索病毒爆发的时间，因此通过查找距离文件加密时间1~3天创建和修改的文件，或查找可疑时间节点创建和修改的文件，就可以找到勒索病毒相关文件。
在确定为可疑文件后，不建议直接删除，可以先对文件进行备份，在清理。若不涉及溯源和证据固定，可手动清除病毒，也可借助杀毒软件查看是否还存在异常文件，并进行病毒查杀

Windows系统排查方法

对文件夹内文件列表时间进行排序，根据勒索病毒加密时间，检查桌面及各个盘符根目录下的异常文件，一般可能性较大的目录有：

- C:\Windwos\Temp
- C:\User\[user]\AppData\Local\Temp
- C:\User\[user]\Desktop
- C:\User\[user]\Downloads
- C:\User\[user]\Pictures

病毒/可疑文件名可疑伪装成“svchost.exe”“WindowsUpdate.exe”这样的系统文件，也可以伪装成直接使用加密后缀命名的“Ares.exe”“Snake.exe”，或者其他异常的名称，如图所示1.exe，该可执行文件在2016年就已经被植入系统并长期潜伏了。

Linux系统排查方法

与Windows系统排查方法类似，在进行Linux系统排查时，可先查看桌面是否存在可疑文件，之后针对可疑文件使用【stat】命令查看相关时间，若修改时间与加密日期接近，有线性关联，则说明可能被篡改。
另外，由于权限为777的文件安全风险较高，在查看可疑文件时，也要重点关注此类文件。查看777权限的文件可使用【find . -type f -name "*.txt" -perm 777】命令。如图所示，查看到的可以文件是pwd.txt。

由于病毒程序通常会通过隐藏自身来逃避安全人员的检查，因此我们可通过查找隐藏的文件来查找可疑文件。使用命令【ls -ar|grep "^\."】可查看以“.”开头的具有隐藏属性的文件，“.”代表当前目录。如图所示，“1.php”为隐藏的可疑文件。

补丁排查

补丁排查只针对Windows系统，重点检查系统是否安装“永痕之蓝”ms17-010漏洞补丁。很多勒索病毒只会利用“永痕之蓝”漏洞进行传播，若未发现补丁，则需及时下载安装。使用【systeminfo】命令，可查看系统补丁情况。
在查看补丁过程中，不同操作系统对应补丁号不同，具体可参考以下补丁号搜索：

- Windwos XP系统补丁号为KB4012598；
- Windwos 2003系统补丁号为KB4012598；
- Windwos 2008 R2 系统补丁号为 KB4012212、 KB4012215；
- Windows 7系统补丁号为 KB4012212、KB4012215。

账号排查

在勒索病毒攻击中，攻击者有时会创建新的账号登录服务器/主机，实施提权或其他破坏性的攻击，因此也需要对账户进行排查。

Windwos系统排查方法

打开【本地用户和组】窗口，可查找可疑用户和组。此方法可以查看到隐藏的用户，因此排查更全面。如图所示。通过对用户账号进行的排查，发现了名为“aaa$”的可疑用户。

Linux系统排查方法

在Linux系统中，重点关注添加root权限的账户或低权限的后门登录账户。root账户的UID为0，如果其他账户的UID也被修改为0，则这个账户酒拥有了root权限。可以使用如下综合排查可疑用户。
使用【cat /etc/passwd】命令，可查看所以用户信息。
使用【awk -F: '{if($3==0)print $1}' /etc/passwd】命令，可查看具有root权限的账户。
使用【cat /etc/passwd | grep -E "/bin/bash$"】命令，可查看能够登录的账户。
如图所示，sm0nk是可疑账户，该账户具有root权限和登录权限，需要结合登录信息查看是否存在异常登录。

网络连接、进程、任务计划排查

攻击者一般在入侵系统后，会植入木马监听程序，方便后续访问。当攻击者通过远控端进行秘密控制，或通过木马与恶意地址主动外连传输数据时，可查看网络连接，发现可疑的网络监听端口和网络活动连接。勒索病毒需要执行程序才能达到加密数据的目的，通过查找进程对异常程序进行分析，可以定位勒索病毒程序。木马可能会将自身注册为服务，或加载到启动项及注册表中，实现持久化运行。那么在对系统进行排查时，需重点关注网络连接、进程、任务计划信息，针对Windwos系统还需要关注启动项和注册表。

Windwos系统排查方法

查看可疑网络连接

- 使用【netstat -ano】命令，可查看目前的网络连接，检查是否存在可疑IP地址、端口、网络连接状态。同时重点查看是否有暴露的135、445、3389高危端口，很多勒索比病毒就是利用这些高危端口在内网中广泛进行传播的。
- 如图所示，存在本地地址192.168.9.148向同一网段其他地址的1433端口进行大量扫描的情况，并且存在暴露的135、445、3389高危端口。攻击者可通过内网渗透投放恶意程序，并且可以轻松地进行横向传播。

查看可疑进程

- 当通过网络连接命令定位到可疑进程后，可使用【tasklist】命令或在【任务管理器】窗口查看进程信息。如图所示，是使用命令查询PID为3144的进程，该进程名称随机命名为“MMyzTiHr”,随后可通过威胁情报平台对该进程文件进一步分析，确认是否存在恶意进程。

查看可疑的计划任务

- 打开【任务计划程序】窗口，检查是否存在异常任务计划。重点关注名称异常和操作异常的任务计划。如图所示，攻击者在相同时间创建了两条任务计划，文件的启动程序在C盘Windwos目录下，文件名称随机命名为“ZAxFfPY”。

查看CPU、内存占用情况及网络使用率

- 可通过资源管理器检测是否存在CPU、内存占用过高，网络使用率过高的情况，再结合以上排查进程、网络连接的方法定位可疑进程和计划任务。

查看注册表

- 使用Autoruns工具可对注册表项进行检测，重点查找开机启动项中的可疑启动项，也可以手动打开注册表编辑器，查看相关启动项是否存在异常。

除了使用以上方法对Windows的网络连接、进程、任务计划进行排查，也可以借助PCHunter工具查看，根据不同颜色内容发现可疑对象。
PCHunter工具对检测对象校验数字签名，显示为蓝色的条目为非软件签名的对象，红色的为检测到的可疑对象，包括可疑进程、启动项、服务和任务计划等。对检测对象校验数字签名如图所示。

Linux系统排查方法

查看可疑网络进程和连接

- 使用【netstat】命令，可分析可疑端口、可疑IP地址、可疑PID及程序进程之后使用【ps】命令，可查看进程，结合使用这两个命令可定位可疑进程信息。
- 如图所示，通过执行【netstat -anptul】命令，可看到存在外部地址访问，可以PID进行查看分析，该网络连接由root用户在14:15通过ssh服务远程登录的。同时，此分析结果与PID为46963 Local Address中的22端口相对应。基本可以确定攻击者在14:15，通过源地址192.168.152.1访问192.168.152.132的ssh端口，进行远程操作。

查看CPU、内存占用情况

- 使用【top】命令，可查看系统CPU占用情况，使用【free】或【cat /etc/meminfo】命令，可查看内存占用情况。

查看系统任务计划

- 使用【cat /etc/crontab】命令，可查看系统任务调度的配置文件是否被修改，如图所示，攻击者通过配置定时执行远程下载sh脚本文件的任务，不间断执行任务计划。

查看用户任务计划

- 除查看系统任务计划外，还需要查看不同用户任务计划，如查看root任务计划时，可使用【crontab -u root -l】命令，图为每隔5分钟执行一次重启任务。

查看历史执行命令

- 使用【history (cat /root/.bash_history)】命令，可查看之前执行的所有命令的痕迹，以便进一步溯源。有些攻击者会删除该文件以掩盖其行为，如果运行【history】命令却没有输出任何信息，那么就说明历史文件已被删除。如图所示，显示了历史执行命令。

日志排查

通过日志排查，可发现攻击源、攻击路径、新建账户、新建服务等。

Windwos系统排查方法

需要通过事件查看器查看以下日志内容。

系统日志

在勒索病毒事件处理中，主要查看创建任务计划、安装服务、关机、重启这样的异常操作日志。如图所示，攻击者在系统中安装了异常服务，服务名称为LhZa,落地文件为“%systemroot%\MMyzTiHr.exe”，需要对落地文件进行威胁情报分析，识别其是否为恶意文件。

安全日志

主要检查登录失败（事件ID为4625）和登录成功（事件ID为4624）的日志，查看是否存在异常的登录行为。如图所示，攻击者对主机进行暴力破解，在短时间内产生大量的暴力破解失败日志，在暴力破解失败后有成功登录的日志，说明攻击者在尝试暴力破解后成功登录主机，在排查时需要关注暴力破解的IP地址及暴力破解的时间。