几天前接到一家网络教育公司的应急请求,总结下。

症状

服务器经过检查后确认感染的勒索病毒为Crysis家族V4变种,由于CrySiS家族采用AES+RSA的加密方式,目前尚无私钥流出,因此目前无法解密。

涉及到的客户资产

  • 主机名:WIN-HOXXXXXIG

  • 服务器IP:182.XXX.XXX.119

  • 操作系统:Windows Server 2008 R2 Enterprise

过程

由于之前发生过多起勒索+挖矿攻击事件,因此首先对客户机器的状况进行检测

系统状况检查

CPU、内存、网络占用率均为正常水平,无挖矿行为痕迹

image001

系统进程检查

经过wmic 命令获取进程信息及procexp 检查,除自启动勒索信息外,初步判定操作系统无异常进程

image002

系统服务检查

通过对系统服务进行检查,未发现恶意服务

系统启动项检查

对操作系统相关位置进行检查后,除自启动勒索信息外,未发现恶意启动项

image003

注册表

除勒索信息外,注册表无异常启动项

image004

image005

image006

启动项

除勒索信息外,无异常启动项

image007

image008

计划任务

除广告程序外,无异常计划任务

image009

系统文件

除勒索信息外,系统文件无异常,无Crysis家族释放的文件

image010

系统账户检查

在注册表中发现异常账户

image011

image012

image013

网络连接与防火墙配置检查

未发现异常现象

image014

1554996412584

日志分析

通过对操作系统日志进行分析,发现在2019年4月6日下午2点前有大量远程桌面登录失败的日志,判定为暴力破解账号密码植入的勒索病毒,同时发现在2019年4月7日有IP为121.207.227.69(中国福建泉州)的机器对服务器进行了暴力破解账号密码,IP为141.98.252.166(英国伦敦)与59.63.182.243(中国江西南昌)分别于2019年4月5日21时26分2019年4月5日5时33分成功登录了服务器。

image016

成功登录服务器

1554997063124

1554997084598

同时提取到IP 141.98.252.1662019/4/5 21:26:182019/4/5 22:55:16期间多次登录并注销远程连接

image020

image019

三、发现的问题及处置意见

在应急响应过程中发现多处服务器配置问题,具体如下:

  1. 服务器开启了IPC$文件共享服务

  2. 服务器管理员账户密码为弱口令

  3. 服务器操作系统存在EternalBlue (MS17-010)高危漏洞

处置意见

  1. IPC$文件共享服务为高危服务,历史上发生过多起通过该服务入侵的案例,如非必须,建议关闭该服务,如需要该服务,建议进行严格的权限管控。

  2. 服务器密码为[email protected],属于键盘顺序弱口令,建议更换。

  3. EternalBlue(在微软漏洞编号MS17-010中被修复)是在Windows的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码,微软官方补丁编号KB 4013389,建议立即安装。

  4. 鉴于服务器操作已被勒索病毒破坏,系统完整性已缺失,建议进行备份重要文件后重新安装操作系统并执行处置意见中的1~3步。