• 勒索病毒處置案例

    2021-08-29 15:24:14 2051

    一、工具介紹

    這邊主要先介紹一下常用工具主要是安全檢查或逆向的。主要是WINDOWS的工具,實際處置案例中,遇上linux 概率極低。一方面主要病毒或勒索都是針對windows,另一方面 linux 版本、分支太多,要適配也是問題。

    1628820627_6115d493167df38f34986.png

    從上到下:

    WINHEX--可以直接訪問進程內存(RAM),進行一些轉存操作。

    火絨劍--不多解釋了有單個程序版本,跟冰刃功能類似。

    7Z--比較小的解壓工具。有些客戶端可能出現感染無法使用解壓或未裝解壓軟件的情況。

    HANDLE--WIN系統進程管理小工具,在自帶進程管理禁用或無法使用情況下替代使用。也能查看一些進程的占用情況。

    IDA--大名鼎鼎的IDA動態程序行為分析,和偽指令功能很強大。

    LISTDLLS--主要功能DLL使用檢查列表。

    Message Analyzer--微軟出的一款小型網絡抓包分析軟件。

    NetLimiter pro--網絡流量監控工具。

    Ollydbg--大名鼎鼎的OD,脫殼,逆向工程必會工具。

    PEID--查殼的工具

    Process explorer - - 增強型任務管理器 比系統自帶進程查看更多一些內容。如果覺得自帶的不好用推薦這個。

    System Safety Monitor - -一個防火墻+監控功能的軟件,不過這個針對一些WIN7 以下老一些系統。

    process monitor - -進程監視器,特點是可監控進程寫入文件,訪問網絡,注冊表寫入等細節。

    其他抓包工具推薦:

    科來網絡分析系統--跟wireshark 類似 特點是可以根據本地進程來進行數據分類,純中文。

    Omnipeek--跟wireshark類似 特點是擅長分析大量的數據包定義多個篩選參數和排序

    二、應急處置案例(某區縣教育行業客戶)

    1、背景

    大概某天下午5點多要下班的時候,突然接到某區縣客戶電話,大概是中了勒索病毒,已經將感染的主機關閉,區的監管單位也在場,客戶現有維護團隊無法后續處理??蛻舾杏X壓力很大。

    不過當時客戶并沒有跟我們簽約。出于事件緊急,考慮會有后續項目的機會,決定支持。

    電話聯系后了解有兩個去應急處置最優先解決的問題:

    (1)客戶需要知道對其他系統有沒有影響 ? 找出有問題的主機后怎么處理? 盡快恢復正常業務。

    (2)監管單位要求就相對簡單:找到臨近病毒爆發的IP,大體時間,觸發方式等。

    2、工作部署思路

    A) 客戶在區縣,我們要從市區趕往區縣。在路上就聯系監管單位,安排一位懂核心交換機配置的人員現場配合,方便做內網流量鏡像數據分析。出借一臺流量監控設備也正好能派上用場。

    B) 讓客戶對勒索病毒文件名以及后綴進行拍照,傳一個加密后樣本,根據勒索病毒的后綴等特征,我們去公開的勒索病毒庫查詢,看是否能直接解開。

    網站https://www.nomoreransom.org/zh/index.html(多國語言支持很友好)

    1628820705_6115d4e13750831e768da.png

    1628820711_6115d4e7417c38a36ab64.png

    C) 建議修改弱口令關閉SERVER 服務

    建議客戶修改所有內網有弱口令的服務增加密碼強度,關閉server 服務器,禁止勒索病毒使用135 139 445 端口傳播。

    前期工作部署結果:

    1:核心交換機調試人員已經就位

    2:根據上面網站提供的公開勒索病毒秘鑰,未查詢到相關信息,也就是說解密基本無望。

    3:電話聯系弱口令已經修改目前重要業務已經關閉server服務

    3、抵達現場

    現場工作開展思路:

    一是需要有人去中勒索病毒主機上判斷,病毒殘留情況,是否還有留有臨近爆發時間的日志。

    二是需要有人配合上架流量監控設備看網絡類是否還有勒索病毒在內網橫向移動,暴力破解等。

    感染主機的處理順序如下:

    a) 查看主機是否還存在勒索病毒的活動。

    方法:建立2-3個后綴為exe、docx、pptx 之類空白文件,新建文本文件改后綴也可以。 注意查看系統進程是否占用較高。

    如果系統CPU占用很低,你新建的文件沒有被加密,基本能判斷勒索病毒已經自行刪除或者沒有活動了。

    b) 插入自己的U盤代入工具

    小技巧:如果擔心U盤被勒索病毒加密,可以將需要軟件壓縮成ISO后綴 并設置成只讀模式后再插入客戶端。

    C) 查看進程和日志

    常規操作,windows 默認日志路徑(C:\Windows\System32\winevt\Logs)但是大多入侵者都會刪除日志的行為,解決方式就是你要更多了解還有些其他日志可能呢沒被刪除的。這里順便再推薦一個軟件。Lastactivityview 它可以看到系統近期軟件執行情況,在沒有日志情況下可作為佐證(圖片與應急無關)。

    1628820799_6115d53f18e30307b5815.png

    感染主機的處理大致結果:

    1:服務開放了一個外網端口遠程桌面,預測是黑客是從外網暴力破解后訪問到操作系統的。(本地查看端口命令 netstat -ano)

    2: 現場系統為WIN2008 操作系統微軟停止維護,較多漏洞無法更新。

    3:運維日常傳輸使用公網 QQ 百度網盤 迅雷等進行數據交換,可利用點太多。

    1628820826_6115d55ada26b8a15ac7d.png

    4:  TCP 445 135 勒索病毒利用端口未關閉SERVER服務未關閉 。

    5:  服務器上最早爆發時間為7月7日 0:54。(搜索加密后綴 排序即可)

    1628820838_6115d566064826e9fab36.png

    6:現有文件解密無法解除 (已嘗試提供的已知解密)。

    7:加密后文件后綴.[tsai.shen@mailfence.com].eight。

    1628820851_6115d573bd7731bfa2983.png

    8:發現登陸日志在7月6日 23:39:09 有使用system權限清除過一次。不過好在發現之前遠程連接日志 可疑IP有兩個 (X.X21.116.103 X.X32.156.109) 其中X.X32.156.109有頻繁鏈接情況。(找到IP基本能向監管單位交差 觸發方式應該人為上傳手動執行)

    小知識:除了security 日志之外  日志目錄下的

    Microsoft-Windows-TerminalServices-LocalSessionManager/Operational 也能記錄遠程桌面訪問日志。

    大體訪問時間線如下:

    X.X21.116.103 (2021/7/6 23:26:53 連接)

    X.X21.116.103 (2021/7/6 23:28:00 斷開)

    X.X32.156.109 (2021/7/6 23:32:35 連接)

    X.X32.156.109 (2021/7/6 23:34:02 斷開)

    X.X32.156.109  (2021/7/6 23:35:43 連接)

    X.X32.156.109 (2021/7/7 0:57:08 斷開 此時文件篡改已開始)

    1628820881_6115d591418f1967d0772.png


    1628820917_6115d5b5d5f941f51a5b6.png

    流量監控設備部署情況

    a) 通過讓華為技術人員配置核心交換鏡像口,將所有其他端口流量復制到鏡像口。不過華為那邊技術人員觀察口,鏡像口,管理口糾結了好半天。大部分時間耽誤在溝通上,最后配置上去始終沒數據,后來發現是接入的成品線有問題,換了一根就好。

    b) 收到流量基本算部署完畢。

    流量監控設備觀察情況

    a) 發現了兩臺感染主機有攻擊行為建議他們先斷網,再全盤格式化處理。

    b) 后續經過管理員確認他們無感染后,我們便離開了。(其他的IP不屬于客戶管理 屬于下級單位的 但是下級單位明顯也存在較多網絡攻擊,客戶網絡內部防御手段缺失)。

    根據以上的信息可以寫報告了。

    1628821001_6115d6090f7d2e7482808.png

    4、給客戶的后續整改建議

    1:先關閉網絡入口,關閉核心交換機以及關鍵路由的 135 445 139 TCP 網絡訪問。

    2:重要程度較高優先系統升級更新補丁。將所有windows 服務器當中的server服務進行禁用關閉啟動

    3:運維增加專業VPN或堡壘機,帶有溯源錄像功能,限制服務器并只能從堡壘機進行運維,身份驗證應帶有手機驗證碼驗證功能,用于確認使用人身份。服務應安裝專業的終端防護軟件如EDR等。免費軟件可能產生漏殺。

    4:加強日常安全運維管理,日常漏洞掃描與補丁更新,對于微軟已經停止維護的系統,建議升級更換。

    5:加強內網網絡的管控和安全區域劃分,目前網絡防御側重還是在外網,內網缺乏內部管控和安全手段。

    6:加強日常管理技術人員安全意識培訓。


    首頁
    解決方案
    行業案例
    新聞動態
    聯系我們
    亚洲青青草99久久视频在线观看,精品AV在线观看一区二区三区,麻豆手机在线传媒原创剧,r站swag在线视频,在线高清日韩亚洲国产,二次元美女同性恋自慰动态图,少女萝莉私处久久视频,国产网红黑历史 国产露脸无套磁力| 韩国燃油| 麻豆传媒猎人和猎物在线观看| 日本签证的在职证明| 果冻传媒原创在线| 歌中文字幕现场版| 蜜桃Q风油精在线视频磁力| 国产在线视频第四琪琪| 午夜私语在线观看| 一本道动漫| 超碰国产精品最新麻豆剧情| 国产情侣一级在线| 国产偷拍视频夫妻| 偷拍自偷网国产| 制服系列国产| 韩国女主播赵世熙| 麻豆映画传媒作品集| 麻豆传媒官网站地址| 欧美唇填充| 天美传媒蒋佑怡| 哈尔滨女同性恋| 小明永久中文字幕在线观看| a妹爱你mv中文字幕| av 漫画在线下载免费观看| 2018年国产小情侣自拍视频| 国产白拍偷拍免费视频在线播放| 国产手机直播小视频在线观看| 韩国数码| 麻豆传媒年夜饭女主叫什么| 麻豆印象传媒在线观看不卡| 欧美嫩模自慰| 日本戒烟药| 女同性恋电影逆爱| swag在线视频圣诞| 国产在线视频一在播放| 久久伊人精品九九| 正在播放国产剧情午睡| 女主瘦了变模特的国产电视剧| 国产网约素人迅雷下载| 色综合偷拍 自拍 国产 照片| 国产在线主播在线直播| http://www.igaogui.com http://www.96311.net http://www.kekkon-letter.com http://www.xitemai.com http://www.senatorsheehan.com http://www.zufoot.com
    x

    首頁

    客服

    電話

    留言

    返回頂部