一起LIVE勒索事件的溯源

一起LIVE勒索事件的溯源

    五一假期出去爽飞了，就忘记更新这回事了，然后得了假期上班综合征，班都不想上，更加别说写文章，终于又经历了一周班味的洗礼，赶紧更新一篇简单的文章，来一起看看这个勒索事件吧！

事件背景

    客户电话里很着急说有两台服务器文件被加密了，咨询是否可以解密并且溯源攻击路径，需要给出针对性的加固建议。这不，赶紧骑上我心爱的小摩托出发。

现场排查

    看看上面的勒索信，人家直接行不更名坐不改姓，我就叫LIVE TEAM勒索团伙，你过来啊！老套路，先看勒索信的创建时间，28号19点13分。

    查看系统日志，发现创建时间左右的日志清理操作，进行操作的账号为*admin

    继续查看RDP相关日志，发现被加密前存在10.*.*.91的异常登录日志，登录账号为*admin

    可判断上层主机为10.*.*.91，直接排查，发现勒索信创建时间为19点53分

    进一步查看主机文件，发现扫描工具和勒索加密程序

    经过确认，当前主机开放3389端口和1433端口，仅存在一个对外的IP-Guard业务，怀疑是Web漏洞入侵，查看IP-Guard文件夹，发现存在多个webshell

    根据落地目录可确定是IP-Guard flexpaper组件任意命令执行漏洞导致，帮助客户联系解密后对此漏洞进行的修复，输出应急报告就结束了。

原文始发于微信公众号（草蛇灰线马迹蛛丝）：一起LIVE勒索事件的溯源