0x00
事件简述
某天,在上班时接收到公司领导指派任务要求对某国企单位中招勒索病毒进行紧急处理,需要我们技术人员火速处理,于是自驾四轮小汽车出发某市做应急响应,来到单位后,经过沟通了解后,仅有一台服务器中毒,后续客户侧人员已经进行断网隔离处理,本次处理过程中,先通过对中招主机系统日志查询,发现存在MSSQL弱口令爆破行为。然后在中招主机桌面发现攻击者遗留的HR文件夹,文件夹内存在三个文件,通过人工与威胁情报对三个可疑进行文件分析得知,攻击者使用的跳板机IP为境外地址。技术人员紧接着对攻击IP进行威胁情报综合分析,发现该IP确实存在MSSQL数据库爆破和获取权限后的命令执行行为。猜测攻击者首先通过爆破弱口令获取到数据库管理权限并提权至系统权限,然后探测到主机存在向日葵远控软件,更改向日葵配置文件,进而获取向日葵的登陆凭证,最后通过向日葵对主机磁盘文件进行加密操作,由此可以判断,攻击者跳板机器IP和攻击路线。
攻击者画像
0x01
主机文件排查
首先对中招机器进行排查,在对WEB应用进行排查中,并未发现存在WebShell等网站后门文件,只是发现服务器D盘目录存在被加密(网站文件已被加密)。
0x02
设备端口服务排查
对防火墙设备进行登录过程中,经过询问系统运维人员发现防火墙设备登录凭证为弱口令,登录后未发现业务日志,却看到了内网存在端口映射行为,Web服务800端口映射至公网800端口、内网1433(MSSQL)端口映射至公网51433端口,同时也发现一些其他端口的映射。
在后续看到防火墙设备的23-Telnet端口居然也映射到互联网中,只能说在安全设备防护层面上来看还是存在不少问题。
之后在主机上看到存在向日葵远程登陆软件,我们猜测黑客是利用向日葵的配置信息拿到权限,经过询问得知登录凭证为随机值,这里的凭证:1000,黑客很有可能是修改过的。
0x03
软件日志排查
通过上述排查,已经大致判断是向日葵软件存在问题,接着我们查看向日葵日志,在枯燥的翻日志中,终于发现部分日志存在被加密和使用向日葵进行文件拖拽操作。
接着对中招服务器系统日志进行排查,发现服务器部分日志存在被删除的情况,但还是有部分日志可以证明存在爆破数据库凭证的行为并且导致数据库服务崩溃。
0x04
恶意文件分析
在中招机器桌面我们发现黑客遗留的HR文件夹,在文件夹中看到存在三个恶意文件,分别为exe可执行文件,ps1脚本文件、和bat执行脚本文件,峰回路转,立即开展人员对这三个文件进行分析。
将三个恶意文件打包放入虚拟机进行分析,用记事本打开后发现该文件内容大致为下载恶意文件,并存储在特定目录下,在这里我们可以看到下载的地址,也就是攻击者的跳板机IP地址。
确认攻击者的IP后,使用威胁情报对恶意IP “80.xx.xx.37”分析,可以获取到更多有价值的信息,发现该IP为境外IP。同时在威胁情报分析系统发现该IP存在爆破数据库弱口令行为,并且在获取到受害者机器凭证之后,进行相关命令执行的操作。
之后我们再将恶意exe文件放入沙箱,通过对exe文件分析,发现该exe为恶意软件属于Seraph家族木马。并存在http请求和tcp对外请求。
0x05
防护建议
到最后我们的应急响应也告一段落,针对于上述所分析的勒索病毒案例,我们提出了多条防护建议,如下图所示:
0x06
结尾
最后附上一张来自官方认证的感谢信,这不仅是对我们燕云实验室技术实力的认可,更加坚定了我们在网络安全行业坚持不断地贡献出自己力量的决心。
原文始发于微信公众号(燕云实验室):《某国企单位中招勒索病毒-看我如何应急》
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论