勒索病毒应急响应
几天前接到一家网络教育公司的应急请求,总结下。
症状
服务器经过检查后确认感染的勒索病毒为Crysis家族V4变种,由于CrySiS家族采用AES+RSA的加密方式,目前尚无私钥流出,因此目前无法解密。
涉及到的客户资产
主机名:WIN-HOXXXXXIG
服务器IP:182.XXX.XXX.119
操作系统:Windows Server 2008 R2 Enterprise
过程
由于之前发生过多起勒索+挖矿攻击事件,因此首先对客户机器的状况进行检测
系统状况检查
CPU、内存、网络占用率均为正常水平,无挖矿行为痕迹
系统进程检查
经过wmic 命令获取进程信息及procexp 检查,除自启动勒索信息外,初步判定操作系统无异常进程
系统服务检查
通过对系统服务进行检查,未发现恶意服务
系统启动项检查
对操作系统相关位置进行检查后,除自启动勒索信息外,未发现恶意启动项
注册表
除勒索信息外,注册表无异常启动项
启动项
除勒索信息外,无异常启动项
计划任务
除广告程序外,无异常计划任务
系统文件
除勒索信息外,系统文件无异常,无Crysis家族释放的文件
系统账户检查
在注册表中发现异常账户
网络连接与防火墙配置检查
未发现异常现象
日志分析
通过对操作系统日志进行分析,发现在2019年4月6日
下午2点前有大量远程桌面登录失败的日志,判定为暴力破解账号密码植入的勒索病毒,同时发现在2019年4月7日
有IP为121.207.227.69
(中国福建泉州)的机器对服务器进行了暴力破解账号密码,IP为141.98.252.166
(英国伦敦)与59.63.182.243
(中国江西南昌)分别于2019年4月5日21时26分
和2019年4月5日5时33分
成功登录了服务器。
成功登录服务器
同时提取到IP 141.98.252.166
在2019/4/5 21:26:18
到2019/4/5 22:55:16
期间多次登录并注销远程连接
三、发现的问题及处置意见
在应急响应过程中发现多处服务器配置问题,具体如下:
服务器开启了IPC$文件共享服务
服务器管理员账户密码为弱口令
服务器操作系统存在EternalBlue (MS17-010)高危漏洞
处置意见
IPC$文件共享服务为高危服务,历史上发生过多起通过该服务入侵的案例,如非必须,建议关闭该服务,如需要该服务,建议进行严格的权限管控。
服务器密码为[email protected],属于键盘顺序弱口令,建议更换。
EternalBlue(在微软漏洞编号MS17-010中被修复)是在Windows的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码,微软官方补丁编号KB 4013389,建议立即安装。
鉴于服务器操作已被勒索病毒破坏,系统完整性已缺失,建议进行备份重要文件后重新安装操作系统并执行处置意见中的1~3步。