作者:天启@涂鸦智能安全实验室
前言
某日接到一哥们的求助电话,大概意思就是他的客户中了病毒,现在客户很慌,他也很慌,想求助我协助看能不能溯源分析一下黑客的攻击路径。
我想中午也没事干,就帮他溯源分析一波吧。首先问了他一下信息以方便进一步排查,同时也提前准备好相应的工具。由于他们不是专门搞安全的,所以更细节的东西他们是不会注意的。如果想快速溯源分析,最好的办法还是需要去中毒的机器上亲自看。同时还有一个比较重要的事情,就是稳定好受害者的情绪和保护好现场,尽可能在我们溯源前保持原状。这样可以让我们快速定位问题,然后找出对应的解决办法。
但是我这次遇到的就不是很幸运了。因为事情出的比较紧急,客户慌的一批,直接将异常的文件以及所有异常的信息都删除了,这给溯源造成了一定的困扰。但是也没有办法,只能硬着头皮上。
开始溯源分析
开始之前,先说一下目前机器中毒常见的两种状况。
一:中了勒索病毒,所有重要的文件全被加密了,然后留下勒索者联系方式以及付款方式。
二:中了挖矿病毒,CPU占用异常高,机器非常卡顿。
如果中了第一种病毒,就比较悲催了,因为单纯从技术角度来讲,基本不太可能对加密的文件进行解密。可能会有同学问为什么,举个简单例子,勒索病毒用的加密算法本质上是和支付宝、微信支付用的加密算法是差不多的。
目前微信支付宝是安全的就是依赖加密算法的安全不可破解!我们平时也几乎没怎么听说黑客攻击解密支付宝和微信支付,那说明这些加密算法还是非常安全的!换句话讲解密勒索病毒加密的文件的难度可能是与破解支付宝和微信支付的难度是不相上下的!既然这么难破解,那我们为什么平时还能看到某些厂商提供解密勒索病毒的工具或者平台呢?答案很简单,他们搜集到解密的密钥!遇到第二种情况,稍微比第一种好一点点,只要找到异常的进程干掉然后相关定时任务清除掉基本就可以了!
根据上面的总结以及我们目前获取到信息基本可以确定这次机器中毒应该是中了挖矿病毒!因为特点非常明显,CPU占用非常高!而且根据截图信息我们还能大概描绘一下该挖矿病毒的攻击路径:python3脚本->javav.exe->开始挖矿!当然这一切都是根据我们目前能掌握的信息进行的合理推测!至于真实的攻击路径是什么样子的还是需要我们直接上机进行排查!
等到中午的时候我打开了”向日葵”连上了受害机器!当我上到真实机器上的时候,我在想如果我是这个黑客,我应该怎么入侵这台机器并且放上挖矿的脚本?映入我脑海的第一个想法就是利用该机器上能利用的漏洞入侵这台机器!首先我捋了一下系统信息:Windows sever 2012 R2,本身就是一台简单的服务器并无其他功能,且本身并无直接可利用的系统漏铜.挖矿的黑客一般在互联网上找”矿机”一定是快准狠的,不大可能会大费周折!既然系统层面没有直接可利用的漏洞,那基本可以排除黑客是利用Windows server 2012 R2系统本身漏洞入侵的可能了!
既然黑客不是利用系统漏洞进行入侵,那接下来的排查重点就是搭载在系统上的应用是否存在漏洞了!不查不知道,一查吓一跳,这上面的应用真是惊到我了!我™直呼内行!我们先上一张图看看这台机器上都装了什么应用吧!
简单总结一下
-
提前将所有在溯源过程中可能遇到的工具准备好,最好是免安装版。
-
记得要安抚好客户情绪,对受害机器做断网处理,尽量不要破坏被入侵的机器。
-
根据目前能掌握的情况,判断入侵的机器可能中的是哪种类型的病毒!是勒索病毒或者是挖矿病毒。
-
上机排查的时候可以大概分两个方向排查,系统本身是否存在漏洞,安装在系统上的应用是否存在漏洞。
后记
- End - 精彩推荐 【技术分享】工控攻防演示——从外网到内网控制系统设备的入侵 【技术分享】对抗样本及其背后性质分析(实战导向) 【技术分享】DDoS介绍与防御 【技术分享】SSTI漏洞学习 (上)——基础知识和一些不常见的模板引擎介绍 戳“阅读原文”查看更多内容 本文始发于微信公众号(安全客):【技术分享】分享一个最近的一次应急溯源
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论