一起Mallox勒索事件的溯源
上周清明放假回家上山看太爷太奶去了,然后电脑也没带,突然想起周更这个事情,断更了,惊讶的是今天上后台发现竟然有好兄弟催更(心中窃喜),不是哥们,我这也不是写小说啊,文章看的也没劲,不至于吧!这周马上给大伙更新,时间也越来越近了,等待HW开场。
事件背景
客户的服务器被勒索加密了,找我解密,另外溯源一下入口点,方便恢复后进行针对性的加固,看了一眼勒索后缀hmallox,确定是mallox家族,属于老熟人了,直接上服务器开始排查
现场排查
排查勒索永远都是先确定加密时间,直接看勒索信的创建时间和修改时间,分别是18点37分和21点34分,那应该是18点37分前已经失陷了
查看主机文件,发现勒索程序x.exe,落地时间为17点51分
根据经验,mallox家族一般会使用暴破RDP、暴破MSSQL和Web应用漏洞攻击,一个个看,RDP日志没有异常,MSSQL服务器上没有,那就只剩下Web应用漏洞攻击了,查看Web业务文件,发现一个异常的1024.aspx文件,创建时间是15点55分,虽然被加密了,但是我知道是webshell,你问我为什么,因为我之前遇到过,hhh。
来看看Web访问日志吧,希望没有被加密,要是也被加密了那就完了。还好,这个日志文件没被加密,IIS的话日志时间需要-8小时,也就是7点55,果然从时间开始溯源,屡试不爽,这不就找到了漏洞接口/myunke/ApiUpdateTool/ApiUpdate.ashx?,某**云的ERP文件上传漏洞,搜索引擎搜一下就有POC了。
整体来看还是很简单的一个勒索事件,没啥特别的技巧,中规中矩的溯源思路,下周再见
原文始发于微信公众号(草蛇灰线马迹蛛丝):一起Mallox勒索事件的溯源
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论