服务器感染Globelmposter勒索病毒
事件背景
- 2020年5月,某公司内外服务器遭遇勒索病毒攻击,应急响应工程师在抵达现场后,对包含服务器在内的13太机器进行系统排查和日志分析。
事件处置
勒索病毒初步判定
- 首先,对其中一台感染勒索病毒的主机A(源地址为192.168.111.129)进行排查,通过勒索信确认为GlobeImposter勒索病毒,如图所示。
- 在本地桌面及磁盘发现加密文件后缀为.RESERVE,如图所示。
系统排查
主机账号
- 通过主机账号排查发现存在隐藏用户1q$,如图所示。
- 隐藏用户1q$在2020/5/13 16:56:24登录到本机,并且在管理员权限组内,如图所示。
进程排查
- 对进程进行排查,发现进程中存在可疑程序svchost.exe,进程定位到文件落地目录。svchost属性如图所示。经查询,确定该文件为勒索病毒文件。
计划任务
- 对计划任务进行排查,如图所示。发现攻击者创建了计划任务,落地文件为 C:\Users\1q$\Downloads\ Parser.exe。经查询,确定该文件为恶意文件。
网络连接排查
- 对网络连接进行排查,发现大量3389、445端口的网络扫描结果,通过进行ID定位到恶意扫描进程,如图所示。
日志分析
- 对日志进行分析,发现可疑的服务创建日志(事件ID为7045),如图所示。经过分析,发现恶意程序processhacker在2020/5/13 16:31:21被加载。但在相应目录下查看,程序已被删除。
- 在processhacker被加载之前,发现源网络地址为192.168.111.133的主机B在 2020/5/13远程登录,如图所示。同时,在登录成功前,存在大量登录失败记录,有暴力破解迹象。
总体结论
- 源地址为192.168.111.133的主机B最先远程登录源地址为192.168.111.129的主机A,先进行一系列扫描及内部RDP暴力破解等操作,并通过源地址为192.168.111.129的主机进行横向移动,寻找有价值的服务器进行人工投毒,植入勒索病毒进行攻击。
事件抑制
- 隔离问题主机,断开网络连接,尽量关闭外部连接。
- 将135.139.445端口关闭,封堵非业务端口。
- 将服务器/主机密码全部更换为复杂度高的密码。
- 安装安全补丁,尤其是MS17-010漏洞的
根除及恢复
- 终端安装企业级防病毒软件。
- 使用流量监控设备进行内外流量监控。
- 出口防火墙封堵CC地址。
服务器感染Crysis勒索病毒
事件背景
- 2020年2月,某单位发现内网多台服务器收到勒索病毒攻击。应急响应工程师抵达现场后,确定内网多台服务器均感染Crysis勒索病毒,该单位多区、多台服务器重要数据均被加密。
事件处置
勒索病毒判定
- 首先对其中一台感染勒索病毒的服务器进行排查,通过勒索信确认为Crysis勒索病毒,如图所示。
- 文件后缀名为勒索邮箱。[cyb3rcypt@protonmail.com],如图所示
系统排查
- 查看当前端口开放情况,发现服务器开放135、445、3389等高危端口,如图所示,容易被攻击者利用。
- 查询用户情况,未发现新建用户级隐藏用户,如图所示。
- 与服务器管理员沟通后,发现该服务器用户密码为弱密码“123.com”。
- 排查系统补丁信息,发现该系统为安装“永痕之蓝”补丁,如图所示。
日志分析
- 分析失败登录日志(事件ID:4625)发现,攻击者从2020/1/17 3:14:00开始尝试采用远程桌面暴力破解,如图所示。
- 攻击者暴力破解成功,在 2020/2/5 3:07:17,通过源地址1134.19.179.195登录Administrator账号,如同所示。
- 查询源地址134.19.179.195,发现其为境外的恶意地址,如图所示。
- 攻击者成功登录后,开始投放勒索病毒,加密时间如图所示。
事件抑制
- 立即关闭IPC共享服务,修改3389远程登录密码。
- 对内部服务器进行排查,一旦发现有中毒现象,立即断网。
- 安装安全补丁,尤其是MS17-010漏洞的。
根除及恢复
- 修改3389远程登录密码,采用高强度的密码,避免使用弱密码,并定期更换密码,建议服务器密码使用高强度且无规律密码,并且强制要求每台服务器使用不同密码管理。
- 关闭IPC共享服务,尽量关闭不必要的端口,如445、135、139等,对3389端口进行白名单配置,只允许白名单内的地址连接登录。
- 对重要文件和数据进行定期非本地备份。
- 部署专业安全防护软件。
996
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
