真实客户勒索病毒处置案例
作者:redhatd,转载于freebuf。
一、工具介绍
这边主要先介绍一下常用工具主要是安全检查或逆向的。主要是WINDOWS的工具,实际处置案例中,遇上linux 概率极低。一方面主要病毒或勒索都是针对windows,另一方面 linux 版本、分支太多,要适配也是问题。
从上到下:
WINHEX—可以直接访问进程内存(RAM),进行一些转存操作。
火绒剑—不多解释了有单个程序版本,跟冰刃功能类似。
7Z—比较小的解压工具。有些客户端可能出现感染无法使用解压或未装解压软件的情况。
HANDLE—WIN系统进程管理小工具,在自带进程管理禁用或无法使用情况下替代使用。也能查看一些进程的占用情况。
IDA—大名鼎鼎的IDA动态程序行为分析,和伪指令功能很强大。
LISTDLLS—主要功能DLL使用检查列表。
Message Analyzer—微软出的一款小型网络抓包分析软件。
NetLimiter pro—网络流量监控工具。
Ollydbg—大名鼎鼎的OD,脱壳,逆向工程必会工具。
PEID—查壳的工具
Process explorer - - 增强型任务管理器 比系统自带进程查看更多一些内容。如果觉得自带的不好用推荐这个。
System Safety Monitor - -一个防火墙+监控功能的软件,不过这个针对一些WIN7 以下老一些系统。
process monitor - -进程监视器,特点是可监控进程写入文件,访问网络,注册表写入等细节。
其他抓包工具推荐:
科来网络分析系统—跟wireshark 类似 特点是可以根据本地进程来进行数据分类,纯中文。
Omnipeek—跟wireshark类似 特点是擅长分析大量的数据包定义多个筛选参数和排序
二、应急处置案例(某区县教育行业客户)
1、背景
大概某天下午5点多要下班的时候,突然接到某区县客户电话,大概是中了勒索病毒,已经将感染的主机关闭,区的监管单位也在场,客户现有维护团队无法后续处理。客户感觉压力很大。
不过当时客户并没有跟我们签约。出于事件紧急,考虑会有后续项目的机会,决定支持。
电话联系后了解有两个去应急处置最优先解决的问题:
(1)客户需要知道对其他系统有没有影响 ? 找出有问题的主机后怎么处理? 尽快恢复正常业务。
(2)监管单位要求就相对简单:找到临近病毒爆发的IP,大体时间,触发方式等。
2、工作部署思路
A) 客户在区县,我们要从市区赶往区县。在路上就联系监管单位,安排一位懂核心交换机配置的人员现场配合,方便做内网流量镜像数据分析。出借一台流量监控设备也正好能派上用场。
B) 让客户对勒索病毒文件名以及后缀进行拍照,传一个加密后样本,根据勒索病毒的后缀等特征,我们去公开的勒索病毒库查询,看是否能直接解开。
网站https://www.nomoreransom.org/zh/index.html(多国语言支持很友好)
C) 建议修改弱口令关闭SERVER 服务
建议客户修改所有内网有弱口令的服务增加密码强度,关闭server 服务器,禁止勒索病毒使用135 139 445 端口传播。
前期工作部署结果:
1:核心交换机调试人员已经就位
2:根据上面网站提供的公开勒索病毒秘钥,未查询到相关信息,也就是说解密基本无望。
3:电话联系弱口令已经修改目前重要业务已经关闭server服务
3、抵达现场
现场工作开展思路:
一是需要有人去中勒索病毒主机上判断,病毒残留情况,是否还有留有临近爆发时间的日志。
二是需要有人配合上架流量监控设备看网络类是否还有勒索病毒在内网横向移动,暴力破解等。
感染主机的处理顺序如下:
a) 查看主机是否还存在勒索病毒的活动。
方法:建立2-3个后缀为exe、docx、pptx 之类空白文件,新建文本文件改后缀也可以。注意查看系统进程是否占用较高。
如果系统CPU占用很低,你新建的文件没有被加密,基本能判断勒索病毒已经自行删除或者没有活动了。
b) 插入自己的U盘代入工具
小技巧:如果担心U盘被勒索病毒加密,可以将需要软件压缩成ISO后缀 并设置成只读模式后再插入客户端。
C) 查看进程和日志
常规操作,windows 默认日志路径
C:\Windows\System32\winevt\Logs
但是大多入侵者都会删除日志的行为,解决方式就是你要更多了解还有些其他日志可能呢没被删除的。这里顺便再推荐一个软件。Lastactivityview 它可以看到系统近期软件执行情况,在没有日志情况下可作为佐证(图片与应急无关)。
感染主机的处理大致结果:
1:服务开放了一个外网端口远程桌面,预测是黑客是从外网暴力破解后访问到操作系统的。(本地查看端口命令 netstat -ano)
2: 现场系统为WIN2008 操作系统微软停止维护,较多漏洞无法更新。
3:运维日常传输使用公网 QQ 百度网盘 迅雷等进行数据交换,可利用点太多。
4: TCP 445 135 勒索病毒利用端口未关闭SERVER服务未关闭 。
5: 服务器上最早爆发时间为7月7日 0:54。(搜索加密后缀 排序即可)
6:现有文件解密无法解除 (已尝试提供的已知解密)。
7:加密后文件后缀.[tsai.shen@mailfence.com].eight。
8:发现登陆日志在7月6日 23:39:09 有使用system权限清除过一次。不过好在发现之前远程连接日志 可疑IP有两个 (X.X21.116.103 X.X32.156.109) 其中X.X32.156.109有频繁链接情况。(找到IP基本能向监管单位交差 触发方式应该人为上传手动执行)
小知识:除了security 日志之外 日志目录下的
Microsoft-Windows-TerminalServices-LocalSessionManager/Operational 也能记录远程桌面访问日志。
大体访问时间线如下:
X.X21.116.103 (2021/7/6 23:26:53 连接)
X.X21.116.103 (2021/7/6 23:28:00 断开)
X.X32.156.109 (2021/7/6 23:32:35 连接)
X.X32.156.109 (2021/7/6 23:34:02 断开)
X.X32.156.109 (2021/7/6 23:35:43 连接)
X.X32.156.109 (2021/7/7 0:57:08 断开 此时文件篡改已开始)
流量监控设备部署情况
a) 通过让华为技术人员配置核心交换镜像口,将所有其他端口流量复制到镜像口。不过华为那边技术人员观察口,镜像口,管理口纠结了好半天。大部分时间耽误在沟通上,最后配置上去始终没数据,后来发现是接入的成品线有问题,换了一根就好。
b) 收到流量基本算部署完毕。
流量监控设备观察情况
a) 发现了两台感染主机有攻击行为建议他们先断网,再全盘格式化处理。
b) 后续经过管理员确认他们无感染后,我们便离开了。(其他的IP不属于客户管理 属于下级单位的 但是下级单位明显也存在较多网络攻击,客户网络内部防御手段缺失)。
根据以上的信息可以写报告了。
4、给客户的后续整改建议
1:先关闭网络入口,关闭核心交换机以及关键路由的 135 445 139 TCP 网络访问。
2:重要程度较高优先系统升级更新补丁。将所有windows 服务器当中的server服务进行禁用关闭启动
3:运维增加专业VPN或堡垒机,带有溯源录像功能,限制服务器并只能从堡垒机进行运维,身份验证应带有手机验证码验证功能,用于确认使用人身份。服务应安装专业的终端防护软件如EDR等。免费软件可能产生漏杀。
4:加强日常安全运维管理,日常漏洞扫描与补丁更新,对于微软已经停止维护的系统,建议升级更换。
5:加强内网网络的管控和安全区域划分,目前网络防御侧重还是在外网,内网缺乏内部管控和安全手段。
6:加强日常管理技术人员安全意识培训。