前情摘要:最近勒索病毒真的太猖獗了,光一星期我就接连处理了两起。不过黑客的攻击方式都是大同小异,处理完报告之后,特来分享其中一起。各位可得小心小心在小心,千万不要中招,不然就只有重装的份了。
事件概述:
2023年2月1日凌晨2点,某公司机房数据库中了勒索病毒,工作人员上班发现后,立即拔掉网线,防止病毒进一步扩散。病毒页面如下
可以看到,这是一个比较经典的勒索病毒了,且桌面文件都已经被加密,无法查看。
问题排查:接下来,就要从各个层面来进行排查了
首先对服务器进行排查,要确定病毒有没有扩散,通过排查,发现两台机器中了勒索,分别为192.168.1.77还有192.168.1.78,可以先看下1.78的任务日志。
系统层面排查
接着,我们在对windows的系统层面进行排查,看看有没有什么收获,我分别从系统账号、隐藏账号、异常进程、异常任务计划、开放端口、rootkit等各层面进行了全面检查。
(1)排查开放端口,排查开放端口,发现两台服务器均开放了445,3389等端口,我初步判断为通过RDP暴力破解进来的。
(2)排查账户信息,发现该服务器禁止guest账户。
(3)这个时候,我问了下运维人员,我说:你们远程桌面的密码是多少?
答:123456
我晕
然后我问他有没有开放外网,他说开着。
我一听,判断的八九不离十了,估计就是通过3389暴力破解进来的。
为了继续验证我的思路准不准确,我便开始查看系统的安全日志。
安全日志分析:
通过安全日志,我们可以很清晰的看到该服务器平均每隔几秒就会被尝试通过RDP协议爆破一次,直到最后爆破成功,登录服务器作案。
ps:如果控制面板没有办法找到安全日志,可以通过dos窗口输入eventvwr,即可打开
但为了保险起见,我还是用D盾查杀了一下
和我想的一样,攻击者应该未上传后门文件,而是直接植入的病毒。
综合分析:
这样攻击路径就很明显了,攻击者通过暴力破解,由弱口令进入服务器,进而执行勒索病毒。
最后,这个勒索病毒我也解不开,还好没存在什么重要数据,我让他重装系统了。
安全建议:
·对重要的业务系统数据要有数据备份的机制;
·要常态地化对服务器、应用系统进行漏洞检测,及时发现、及时修复;
·对于不常用的服务端口需要采取关闭或者加固措施,比如:139端口,145端口,455端口,3389端口;
·对3389协议进行弱口令检测,并强制要求所有的服务器和终端定期修改复杂密码,杜绝弱口令;
·及时升级杀毒软件与操作系统补丁;
·在windows系统中禁用u盘自动运行功能;
·提升安全意识,不要随意打开来路不明的邮件附件;
·服务器开启日志收集功能,或者网络中部署日志审计设备,确保在攻击发生后能够为实践溯源提供基础数据;
·加强监测,制定应急处置方案,做好应急演练。
声明:原创文章,禁止转载!
原文始发于微信公众号(白虎实验室):分享一次溯源windows勒索应急响应
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论