一、事件背景
xxxx医院在2022/06/19日上午发现部分服务器存在异常,异常现象为服务器被勒索软件加密,文件后缀为“.360”。经排查发现中毒主机共9台。
二、排查分析过程
1、首先对勒索主机192.168.40.97进行排查分析,发现该主机文件开始被加密时间为6:30
排查该主机登录日志发现主机在1:33和6:26时被192.168.40.104登陆,跟加密操作时间吻合:
根据以上初步推断,攻击者由192.168.40.104作为跳板,使用3389远程桌面登录主机192.168.40.97,并进行勒索软件执行。
2、再对主机192.168.40.104进行排查分析,发现此主机文件被加密时间为6:47—8:51期间,如下图所示:
排查其登录日志,发现该主机在6/18 23:57、06/19 1:33、06/19 6:54被192.168.255.253使用RDP登录:
3、继续对主机192.168.255.253进行排查,发现该主机为互联网边界设备的内网口地址,在此设备上将192.168.40.104的3389端口映射到了出口IP的公网地址的3389:
4、对主机192.168.40.104的密码情况进行排查,使用mimikatz抓取本地密码信息,得到ntlm如下图所示:
5、使用解密工具对ntlm进行解密得到密码:Aa11。确定为弱密码。
6、再对其他主机进行排查,发现全部都是在凌晨1点到7点之间被192.168.40.104登录,并植入勒索病毒,情况跟192.168.40.97相似,不做赘述。
三、事件结论
根据以上排查分析得出总结,攻击者在6月19日1:33从公网通过3389映射,使用弱密码Aa11远程登录了192.168.40.104,利用192.168.40.104作为跳板先后使用弱密码Aa11登录其余机器,并对其进行了病毒植入。下图所示为攻击链路:
四、安全加固建议
针对当前客户网络,给出安全加固建议如下:
1、关闭服务器勒索病毒常用的高危端口135/137/139/445,可以使用wannacry检测工具检测关闭,下载链接:http://edr.sangfor.com.cn/tool/WannaCryTool.zip
2、禁止rdp、ssh,远程高危服务端口映射到互联网,规避被互联网那个弱密码登录和爆破风险。
3、针对Windows打上MS17-010漏洞补丁(部分情况下如果缺少前置补丁可能导致MS17-010打不上,建议直接使用腾讯管家之类的工具直接更新补丁)。https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
4、部署EDR等终端安全防护软件,及时对病毒文件进行拦截和查杀。
5、rdp、ssh等密码策略优化,使用8位以上数字、字母、特殊字符混合无规律组合,不同主机使用不同密码。
6、外网核心直连网关路由器没过防火墙,需要重新串接到防火墙下面,做好安全防护。
7、外网核心与内网核心之间通过锐捷AC无线控制器互连,网络相互打通,建议增加一台AC内外网互相隔离。
8、内网服务器区没有防护手段,建议部署数据中心防火墙,对内网服务器业务做防护。
9、金保网专线到医院内网没有做安全防护,建议过一遍防火墙,做好安全防护。
原文始发于微信公众号(菜鸟小新):XXXX医院勒索病毒排查处置分析报告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论