XXXX医院勒索病毒排查处置分析报告

一、事件背景

      xxxx医院在2022/06/19日上午发现部分服务器存在异常，异常现象为服务器被勒索软件加密，文件后缀为“.360”。经排查发现中毒主机共9台。

二、排查分析过程

1、首先对勒索主机192.168.40.97进行排查分析，发现该主机文件开始被加密时间为6:30

排查该主机登录日志发现主机在1:33和6:26时被192.168.40.104登陆，跟加密操作时间吻合：

根据以上初步推断，攻击者由192.168.40.104作为跳板，使用3389远程桌面登录主机192.168.40.97，并进行勒索软件执行。

2、再对主机192.168.40.104进行排查分析，发现此主机文件被加密时间为6:47—8:51期间，如下图所示：

排查其登录日志，发现该主机在6/18 23:57、06/19 1:33、06/19 6:54被192.168.255.253使用RDP登录：

3、继续对主机192.168.255.253进行排查，发现该主机为互联网边界设备的内网口地址，在此设备上将192.168.40.104的3389端口映射到了出口IP的公网地址的3389：

4、对主机192.168.40.104的密码情况进行排查，使用mimikatz抓取本地密码信息，得到ntlm如下图所示：

5、使用解密工具对ntlm进行解密得到密码：Aa11。确定为弱密码。

6、再对其他主机进行排查，发现全部都是在凌晨1点到7点之间被192.168.40.104登录，并植入勒索病毒，情况跟192.168.40.97相似，不做赘述。

三、事件结论

根据以上排查分析得出总结，攻击者在6月19日1:33从公网通过3389映射，使用弱密码Aa11远程登录了192.168.40.104，利用192.168.40.104作为跳板先后使用弱密码Aa11登录其余机器，并对其进行了病毒植入。下图所示为攻击链路：

四、安全加固建议

针对当前客户网络，给出安全加固建议如下：

1、关闭服务器勒索病毒常用的高危端口135/137/139/445，可以使用wannacry检测工具检测关闭，下载链接：http://edr.sangfor.com.cn/tool/WannaCryTool.zip

2、禁止rdp、ssh,远程高危服务端口映射到互联网，规避被互联网那个弱密码登录和爆破风险。

3、针对Windows打上MS17-010漏洞补丁(部分情况下如果缺少前置补丁可能导致MS17-010打不上，建议直接使用腾讯管家之类的工具直接更新补丁)。https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

4、部署EDR等终端安全防护软件，及时对病毒文件进行拦截和查杀。

5、rdp、ssh等密码策略优化，使用8位以上数字、字母、特殊字符混合无规律组合，不同主机使用不同密码。

6、外网核心直连网关路由器没过防火墙，需要重新串接到防火墙下面，做好安全防护。

7、外网核心与内网核心之间通过锐捷AC无线控制器互连，网络相互打通，建议增加一台AC内外网互相隔离。

8、内网服务器区没有防护手段，建议部署数据中心防火墙，对内网服务器业务做防护。

9、金保网专线到医院内网没有做安全防护，建议过一遍防火墙，做好安全防护。

原文始发于微信公众号（菜鸟小新）：XXXX医院勒索病毒排查处置分析报告