实战某高校的一次挖矿病毒的应急处置
0x00 缘起
在风和日丽的周五,我抱着今天搬完砖明天葛优躺的心态开开心心、快快乐乐的工作,没成想刚接到一通电话,电话的那边传来周六需要加班的噩耗,直接打破了周六的葛优躺计划,我周六加班的悲剧故事就此展开。
0x01 信息收集
0x02 现场排查及处置
异常现象确认
服务器被植入挖矿病毒,访问矿池,内网横向,根据病毒特征和其它手段判断该挖矿病毒为DTStealer蠕虫病毒,该病毒利用历史漏洞针对Windows、Linux下的主机进行入侵感染,在入侵成功之后不仅会下载挖矿文件进行挖矿,还会释放传播模块继续入侵感染内网其它终端。本次中挖矿病毒的有三台主机,下面会逐一进行分析。
利用tasklist命令查看PID,锁定程序为PowerShell恶意脚本文件(这个应该是内网扫描脚本,可能是通过计划任务来定时调动此脚本,可以删除此脚本后排查一下任务计划项),直接kill掉。
0x03 溯源分析过程
之前在网络状态连接查看到服务器开放443/80端口,领导要求写报告,这次应急的内容很少,很难获得青睐,试试能不能在别的地方拽取点,就发生了一下故事,更水!
0x04 应急响应事件结论
0x05 存在的威胁
一、安全意识问题
2.对于内网主机的安全性不够重视,比如内网主机存在弱口令等。
二、终端安全
2.桌面云管理系统未及时更新系统补丁;
3.内网未部署漏洞扫描工具,无法得知哪些主机存在漏洞未修复等安全隐患。
0x06 安全加固和改进建议
生命在于运动
一、系统加固建议
1.密码复杂度 - 最短密码长度要求八个字符,密码含有数字、大小写英文字母和特殊字符。
2.禁用Guest账号,禁用或删除其他无用账号。
3.禁用administrator账号,为跳板机用户专门设置新的账号。
4.账号尝试登陆5次后将该账号进行封锁半小时不运行登陆的禁令。
1.操作系统补丁管理 - 安装最新的操作系统Hotfix补丁。安装补丁时应对服务器系统进行兼容性测试。
2.限制远程登陆空闲断开时间 - 对于远程登陆的账号,设置不活动超过时间15分钟自动断开连接。
3.防病毒管理 - 安装企业级防病毒软件,并开启病毒库更新及实时防御功能。
4.服务安全 - 禁用TCP/IP上的NetBIOS协议,可以关闭监听的UDP 137、UDP 138、以及TCP 139端口。
5.共享文件夹及访问权限 - 非域环境中,关闭Windows硬盘默认共享,C, D ,D,D。
6.跳板机机器的远程连接端口不对公网进行开放。
1.管理界面禁止弱密码,限制登录失败次数
2. 版本需要及时更新
3. Web应用防火墙
二、产品加固建议
2.缺少内网安全监控产品, 未对主机的攻击流量进行监控,无法预知或发现安全隐患;
3.缺少漏洞扫描设备,未定期对内网环境进行漏洞扫描,未能及时修复漏洞,造成病毒肆意传播。
4.缺少安全防护设备,无法限制病毒的植入和防护。