早上刚起床,拿起手机看到部门群里有好多消息,讨论内容是某保险行业省级分公司客户内网办公网突然遭受勒索病毒攻击,办公终端被勒索病毒加密无法正常开展工作,正在远程寻求帮助。
然而,省级分公司只配备兼职网管人员,其技能水平有限,远程提取样本、查看日志都搞不定,一时半会儿查不出攻击是什么原因导致,以及是否有扩散风险。
另外客户使用我司产品,对产品防护能力也提出了质疑,要求查明原因。
很快,事件情况全部对接到我。同时,我马上联系客户接口人,了解现场情况,确定目前只有1台办公终端文件被加密,弹出了勒索窗口,其他办公电脑还没有开机,情况如何还未可知。
现阶段的主要任务是抑制勒索病毒传播。我告知客户立刻对涉事终端断网,如果不影响业务,可以临时关闭涉事终端网络。
接下来就要奔赴现场了。感叹科技改变生活,感谢高铁,感谢网约车,我得以在3个小时内抵达现场。
抵达客户现场,看到网络管理人员已按照要求隔离涉事终端、关闭该网段局域网。
根据勒索提示信息和被加密文件特征,初步判断为“Crysis”勒索病毒家族,感觉恢复数据希望不大,但提取相关样本后才能确定。
接下来提取样本。首先查看系统启动项、计划任务等,发现疑似勒索病毒样本信息“payload.exe”:
拿出一个空U盘,结束病毒守护程序和定时任务,防止新插入磁盘被遍历加密,提取样本和相关日志到U盘,然后开展病毒分析。
MD5b9eb7cc476ab9dd0ec665675e3cf3ec6
SHA1753c2cc66429fc4990f73c4a28a800f7432599d5
查询威胁情报,确定是“Crysis”勒索病毒家族的新一代的变种类型,暂时无法解密。
病毒运行后释放真正病毒文件,大致运行情况基本跟下面链接情况一致,感兴趣的同学可自行查看。
“https://bbs.360.cn/thread-15798973-1-1.html”
Crysis勒索病毒家族,是目前仍在传播的勒索病毒家族中最老的一个家族。该勒索病毒从16年开始进行传播,传播至今只使用过爆破远程桌面密码,拿到密码后登陆远程桌面,手动投毒。
根据勒索病毒特定传播方式,确定客户被感染终端可能是远程爆破密码,然后登录远程桌面投毒。以此为线索,查看被攻击终端系统安全日志。
发现异常登录记录,这个进程好熟悉——这不就是花生壳嘛,看到这条日志,心中大致有数了:
查看花生壳软件认证日志,发现有大量爆破日志,可惜都加密了,看不到详情:
掌握相关情况和证据后,客户协调终端使用者了解情况。
经询问沟通,确定内网办公终端使用者为方便个人使用,私自搭建花生壳内网穿透软件,映射系统3389端口到公网动态域名上,并且账号口令为弱口令,因下班不关电脑,被攻击者扫描爆破出账号密码,投放勒索病毒。
至此,已还原攻击路径,调查出被勒索病毒攻击原因。另外了解到,该终端使用者在部署公司安全产品时,利用默认口令私自卸载安全防护软件,导致被勒索病毒攻击时未能有效抑制其运行。
为避免类似情况再次发生,我们都应更加注意相应安全防范。下面带来一些安全建议,以供参考:
2.登录口令要有足够的长度和复杂性,并定期更换登录口令;
3.重要资料的共享文件夹应设置访问权限控制,并进行定期备份;
4.定期检测系统和软件中的安全漏洞,及时打上补丁;
-
是否有新增账户;
-
Guest是否被启用;
-
Windows系统日志是否存在异常;
-
杀毒软件是否存在异常拦截情况。
6.安装安全防护软件,并确保其正常运行,配置防卸载密码;
7.加强员工安全意识教育,不运行不明来源软件,部署上网行为管理系统,管控员工内网穿透软件和其他软件行为;
8.不对外提供服务的设备不要暴露于公网之上。对外提供服务的系统,应保持在较低权限。
原文始发于微信公众号(酒仙桥六号部队):记录一次勒索病毒应急响应 | 技术精选 0119