未然公告丨某医疗集团勒索病毒入侵事件应急响应回顾

2022年12月某日，华为安全团队在接到某客户勒索应急响应求助后，当日第一时间到达客户现场，经分析，发现恶意样本为fast.exe勒索病毒，属于Phobos家族，通过日志综合分析，快速还原了整个入侵过程。此次攻击导致失陷主机数量约为30台，每台要求支付赎金7K美元。（揭秘勒索第2期丨你真的离勒索攻击很远吗？）分析过Phobos是2022年国内TOP4热点勒索软件家族，该病毒是2016年出现的著名CrySiS/Dharma勒索软件家族的变种之一，主要攻击医疗、高校、制造业等行业。

① 此次勒索事件攻击入口是该集团违规开放到公网的某服务器1433端口（SQLServer服务），且数据库登录使用弱口令，攻击者以此为边界突破口对目标服务器进行暴力破解。

MSSQL暴力破解登录成功

② 攻击者登录到SQLServer后，进一步通过xp_cmdshell获取系统权限，攻击成功后投递勒索病毒。在用户xx文件夹下创建攻击目录，并上传病毒文件。

MSSQL xplog70.dll用于调用xp_cmdshell

③ 此次攻击主要投放的勒索工具为：

 ns-v2.exe MD5值逆向分析结果

（用于进行网络扫描并共享文件目录）

dControl.exe MD5值逆向分析结果

（用于关闭Windows Defender）

④ 勒索病毒会通过SMB协议扫描、服务器RDP登录口令爆破进行横向移动，并感染所有共享文件夹和挂载的U盘。

通过SMB协议进行横向扩散

经过3小时分析，华为安全团队快速找到攻击入口，成功溯源并还原攻击过程，向客户CIO、技术负责人详细介绍了整个攻击过程，提出后续安全加固建议。同时参与该事件溯源分析还有另外2个安全厂商，客户重点对华为安全团队应急响应服务的专业与高效提出表扬。

一、短期安全加固建议：

● 将集团文件共享服务器暂时设定为可读，并对关键资产数据进行备份；

● 梳理通信矩阵，细化所有防火墙安全访问策略，关闭不需要开放的端口，收缩对外暴露面；

● 所有USG防火墙新增IPS和AV授权，检测勒索病毒常见漏洞利用攻击，识别和阻断流量中的勒索病毒软件，并替换现网CISCO老旧防火墙。

● 办公PC安装华为乾坤EDR客户端（约300台），与华为乾坤云联动。华为乾坤EDR集成下一代AV引擎，可实时扫描发现勒索攻击早期木马、提权等恶意程序投递；同时，基于内核级文件写入、运行阻断查杀技术，在勒索加密载荷落盘或运行前高速扫描，确保勒索软件不运行下的高检出和高查杀率。

华为防火墙可检测此次勒索病毒数据库登录爆破行为（复现该病毒行为截图）：

华为乾坤EDR部署上线后支持基于静态指纹、行为等进行检测和查杀：

全盘查杀，可发现fast.exe等关键病毒样本

主动实时防护，病毒文件落盘即被自动隔离（复现截图）

病毒文件落盘后，将病毒样本加白再运行，

乾坤EDR检出并成功阻断（即基于行为检测）

二、长期安全加固建议：

● 将分散的资产集中管理，划分安全管理区，部署HiSec Insight态势感知 、FireHunter沙箱,与现网USG防火墙联动，协同防御。华为HiSec Insight集成20多种AI检测算法，含加密流量检测，可覆盖勒索攻击RDP暴力破解、Web渗透、可疑Webshell行为等入口突破，以及早期恶意载荷投递、可疑C2回连、横向移动、数据回传等多个攻击阶段，一旦发现威胁，可联动USG防火墙自动闭环处置。

● 重点针对研发和财务部终端，部署终端数据防泄露模块，保障文档使用安全。

● 集团PC全部部署华为乾坤EDR客户端，通过云、网、端各类安全产品协同联动，构建针对勒索病毒文件的立体防护体系。

勒索攻击关键在于防，勒索多采用非对称加密算法，直接解密基本不可能，中招后数据难以恢复。此次某医疗集团勒索攻击事件发生后，第一时间将失陷主机断网，暂停共享文件服务，华为安全团队快速找到攻击入口后，及时关闭不需要对外开放的端口，最大程度协助客户止损，避免勒索病毒扩散到其他重要服务器或分公司，并针对现网防护薄弱、弱口令等问题进行梳理和整改，给出后续长期加固建议。