前情摘要:最近勒索病毒真的太猖獗了。不过黑客的攻击方式都是大同小异,处理完报告之后,特来分享其中一起。各位可得小心小心再小心,千万不要中招,不然就只有重装的份了。
事件概述:
最近,某公司机房数据库中了勒索病毒,工作人员上班发现后,立即拔掉网线,防止病毒进一步扩散。病毒页面如下
可以看到,这是一个比较经典的勒索病毒了,且桌面文件都已经被加密,无法查看。
问题排查:接下来,就要从各个层面来进行排查了
针对勒索病毒的排查及处置,但最近在使用一个叫无问AI的产品,想问问这个AI会给我怎样的答复。
可以看到,这个大模型的回复还是很全的,并且根据无问AI的回答,我们需要先排查服务器。
首先要确定病毒有没有扩散,通过排查,发现两台机器中了勒索,分别为192.168.1.77还有192.168.1.78,可以先看下1.78的任务日志。
系统层面排查
接着,我们在对windows的系统层面进行排查,看看有没有什么收获,我分别从系统账号、隐藏账号、异常进程、异常任务计划、开放端口、rootkit等各层面进行了全面检查。
(1)排查开放端口,排查开放端口,发现两台服务器均开放了445,3389等端口,我初步判断为通过RDP暴力破解进来的
(2)排查账户信息,发现该服务器禁止guest账户。
(3)这个时候,我问了下运维人员,我说:你们远程桌面的密码是多少?
答:123456
我晕
然后我问他有没有开放外网,他说开着。
我一听,判断的八九不离十了,估计就是通过3389暴力破解进来的。
为了继续验证我的思路准不准确,我便开始查看系统的安全日志
安全日志分析:
通过安全日志,我们可以很清晰的看到该服务器平均每隔几秒就会被尝试通过RDP协议爆破一次,直到最后爆破成功,登录服务器作案。
ps:如果控制面板没有办法找到安全日志,可以通过dos窗口输入eventvwr,即可打开
但为了保险起见,我还是用D盾查杀了一下
和我想的一样,攻击者应该未上传后门文件,而是直接植入的病毒。
综合分析:
这样攻击路径就很明显了,攻击者通过暴力破解,由弱口令进入服务器,进而执行勒索病毒。
最后,这个勒索病毒我也解不开,还好没存在什么重要数据,我让他重装系统了。
安全建议:
1、对重要的业务系统数据要有数据备份的机制;
2、要常态地化对服务器、应用系统进行漏洞检测,及时发现、及时修复;
3、对于不常用的服务端口需要采取关闭或者加固措施,比如:139端口,145端口,455端口,3389端口;
4、对3389协议进行弱口令检测,并强制要求所有的服务器和终端定期修改复杂密码,杜绝弱口令;
小结:
1、本次应急算是一次小应急,涉及的服务器只有两台,但给我们的安全启示确很大,我发现运维人员还是需增强安全意识,避免使用弱口令。
2、无问AI大模型给的回复确实全面一些,链接我放在下边了,建议各位也可以去使用一下。
无问社区:http://wwlib.cn/index.php/login/icode/2fb962434af2b8b6
原文始发于微信公众号(信安一把索):分享一次利用无问AI进行应急响应
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论