小编:本文是工作中做的事件报告,对于一些敏感包含公司信息的内容已经脱敏,可供大家作为事件处置报告参考模板,如有不全不完善的地方可以留言提提。
信息安全事件上报()
目录
信息安全事件上报().... 1
1.攻击识别发现.... 2
2.应急响应处理.... 2
3.事件问题定位:.... 2
4.恶意程序文件溯源:.... 2
5.发现存在风险项:.... 4
5.1.服务器安全:.... 4
5.2.软件来源安全:.... 4
5.3.运维人员安全意识薄弱,.... 4
6.服务器整改措施及意见:... 4
病毒事件处置过程示意图
影响范围:总部服务器网段(192.168.x.0/24)
影响等级:高
1.攻击识别发现
2022.9.29早上日常巡检安全设备-AF边界防火墙发现异常安全事件:10.x.x.26主机存在大量口令爆破攻击(图1);立即从分支边界防火墙上进行封锁并通知该区域运维人员;
图1
2.应急响应处理
查询10.x.x.26地区网段归属,确认是来自分公司XX,联系地区运维人员,立即处理:禁用10.x.x.26服务器网络,进行断网查杀;
3.事件问题定位:
由于使用来源不明带后门的KMS激活工具软件导致的恶意病毒攻击;
4.恶意程序文件溯源:
从运维人员了解得知该激活软件来源于互联网,判定就是kms激活工具注入下载永恒之蓝病毒,kms激活工具运行时需要与kms服务器通讯获取密钥信息以及打开特定端口及修改system文件(图2),查看日志发现系统当时已经是失陷,并且29日有大量修改系统计划任务和从互联网下载木马病毒(图3.图4)的记录,程序文件活动记录符合攻击行为特征(powershell远程下载,监听端口,url下载文件)(图5)以此判定:
图2
图3
图4
图5
5.发现存在风险项:
5.1.服务器安全:服务器使用快照恢复,发现服务器系统状态是处于没有防火墙和杀毒软件的状态;
5.2.软件来源安全:服务器系统上安装了来自互联网上的破解软件service.kms.exe(系统激活工具),不符合重要资产管理要求及软件标准化管理要求;
5.3.人员安全意识薄弱,运维人员日常巡检服务器并没有发现服务器异常也没有定期查杀病毒,从总部分支边界防火墙发现有攻击记录后才响应处理;
6.服务器整改措施及意见:
目前已通知地区运维负责人员:
1.将失陷服务器10.x.x.26重装服务器系统消除隐患;
2.不得在服务器系统上安装破解软件;
3.必须安装杀毒软件和 启用系统防火墙,开启系统审计日志;
4.检查其他服务器是否存在有同类情况激活服务器系统;
5.举一反三开展服务器系统病毒全盘查杀,检查系统防火墙和杀毒软件是否开启,是否正常;
6.持续关注,我们将加强对该网段的重点关注和防控来自分支公司的病毒防控力度。
PS:2022.10.24检查XX服务器已无异常记录;
7.总结:
回顾本次安全病毒事件,从分支边界发现攻击到应急溯源,基本已判定该备用域控服务器已沦陷,可能存在其他服务器也存在有此类情况(安装使用不安全的KMS激活),主要是需要加强运维人员对服务器系统安全意识,定时使用杀毒软件查杀服务器系统;
原文始发于微信公众号(CyberTorres):完成一次勒索病毒溯源工作
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论