应急响应事件归纳

1、勒索病毒网络安全应急响应

 

1、常见勒索病毒

WannaCry勒索病毒、GlobeImposter勒索病毒、Crysis/Dharma勒索病毒、GandCrab勒索病毒、Satan勒索病毒、Sacrab勒索病毒、Matrix勒索病毒、Stop勒索病毒、Paradise勒索病毒

2、常规处置方法

隔离被感染的服务器、主机

防止勒索病毒通过网络继续感染其它服务器、主机，防止攻击者通过感染的服务器/主机继续操纵其它设备

措施：

物理隔离：断网、断电，关闭服务器/主机的无线网络、蓝牙连接等，禁用网卡，并拔掉服务器/主机上的外部存储设备；

访问控制：对访问网络资源的权限进行严格控制和认证，加策略和修改登录密码；

排查业务系统

检查核心业务系统和备份系统，确定感染范围。

确定勒索病毒种类，进行溯源分析

从加密的磁盘中寻找勒索信息，再通过勒索病毒处置工具查看是否可以解密；

溯源分析：查看服务器/主机上的日志和样本，可疑文件，工具进行日志和样本分析；

恢复数据和业务

备份数据恢复业务

磁盘数据恢复

第三方方安全公司

后续防护建议

服务器终端防护

强密码、杀毒软件、打补丁、开启日志收集；

网络防护与安全监测

内网安全域合理划分，限制横向移动范围；

应用系统防护及数据备份

加固、备份、预案；

3、错误处置方法

不要再中毒服务器/主机上插U盘、硬盘等移动存储设备：勒索病毒会对服务器/主机上的所有文件加密；

不要用网上的解密工具反复读/写磁盘中的文件，可能降低数据正确恢复的概率，也可能破坏原始文件；

4、工具

被攻击之后，确定勒索病毒种类，判断能否解密

奇安信勒索病毒搜索引擎：lesuobingdu.qianxin.com

360安全卫士勒索病毒搜索引擎：lesuobingdu.360.cn

5、勒索病毒应急思路

了解事态现状、系统架构、感染时间、确定感染面；

对已中招服务器/主机下线隔离；

未中招做好防护：关闭端口加固、补丁等等

对服务器/主机进行检查：

系统排查

账户排查

Windows

打开本地用户与组：lusrmgr.msc

查看所有用户：wmic useraccount get name,sid

Linux

cat /etc/passwd ：查看所有用户信息

awk -F: '{if($3==0)print KaTeX parse error: Expected 'EOF', got '}' at position 2: 1}̲' /etc/passwd ：…"：可查看能够登录的账户

进程排查

Windows

tasklist或任务管理器

Linux

网络连接：netstat -ano

任务计划：

服务：

启动项：

文件排查：

补丁排查：

日志排查

系统日志

安全日志

安全日志是否有暴力破解记录，异常ip地址登录记录，溯源，定位攻击的突破口；

网络流量排查

清除加固

对服务器/主机进行抑制和恢复：对恶意账号、进程、任务计划、启动项、服务等进行清理，删除恶意样本、打补丁、强密码、安装杀毒软件、部署流量检测设备。

6、如何判断遭遇勒索病毒攻击？

业务系统无法访问；

文件后缀被篡改；

勒索信展示；

桌面上有新的文本文件；

7、了解勒索病毒的加密时间

推断攻击者执行勒索程序的时间轴，方便后续进行溯源。

Windows

通过文件修改日期初步判断(要综合判断，因为攻击者可能伪造时间)

Linux

stat：可查看Access访问、Modify内容修改、Change属性改变三个时间

2、挖矿木马网络安全应急响应

 

1、挖矿木马：利用计算机的算力挖掘数字货币。

2、常见挖矿木马：WannaMine、Mykings(隐匿者)、Bulehero、8220Miner、匿影、DDG、h2Miner、MinerGuard、Kworkerds、Watchdogs。

3、挖矿木马的传播方法

漏洞传播

弱密码暴力破解传播

僵尸网络

无文件攻击方法

网页挂马

软件供应链攻击

社交软件、邮箱

4、挖矿木马利用漏洞

弱密码

未授权访问

命令执行

…

5、常规处置方法

隔离被感染的服务器/主机

防止攻击者以当前服务器/主机为跳板对统一局域网内的其它机器进行漏洞扫描和利用，禁用非业务端口、服务、配置ACL白名单，非重要业务系统建议下线隔离，再排查。

如何确认挖矿

进程排查

木马清除

阻断矿池地址连接

清除挖矿定时任务、启动项等

定位挖矿木马文件，删除

挖矿木马防范

挖矿木马僵尸网络防范

避免使用弱密码

打补丁

服务器定期维护

网页/客户端挖矿木马防范

浏览网页时，主页CPU、GPU使用率

避免访问高危网站

避免下载来路不明的软件

6、应急思路

判断挖矿木马

CPU使用率、系统卡顿、部分服务无法正常运行等现象；

通过服务器性能监测设备查看服务器性能；

挖矿木马会与矿池建立连接，通过安全检测类设备告警判断；

判断挖矿木马挖矿时间

查看木马文件创建时间；

查看任务计划创建时间；

查看矿池地址，通过安全类检测设备；

判断挖矿木马传播范围

挖矿木马会与矿池建立连接，通过安全类监测设备监测；

了解网络部署环境

网络架构、主机数据、系统类型、相关安全设备

系统排查

Windows

用户排查：攻击者为了在系统中实现持久化驻留，

net user

lusrmgr.msc可查看隐藏用户

查注册表：攻击者可能会克隆正常用户名来隐藏自己

网络连接

netstat -ano |find “445”

进程排查

tasklist

任务管理器

工具

任务计划

打开计算机管理——系统工具——任务计划程序——任务计划程序库：可查看任务计划的名称、状态、触发器等信息；

命令行输入schtasks：可获取任务计划信息，要求是本地Administrator组的成员；

在PowerShell下输入get-scheduledtask 可查看当前系统中所有任务计划信息，包括路径、名称、状态等详细信息。

服务排查

services.msc

Linux

用户排查

cat /etc/passwd:查看系统中所有用户信息；

lastlog：查看系统中用户最后登录信息；

lastb：查看用户错误登录列表；

last：查看用户最近登录信息；

who：查看当前用户登录情况；

awk -F：‘length($2)==0 {print $1}’ /etc/shadow ：查看是否存在空口令账户；

进程排查

ps aux

netstat -antp：可查看进程、端口、PID

ls -alh /proc/PID：查看对应可执行程序

top

lsof -p PID：查看对应PID对应的可执行程序

lsof -i:port：查看指定端口对应的程序

ll /proc/PID：可查看进程详细信息

任务计划排查

crontab -l:查看任务计划

日志排查

Windows

eventvwr：打开事件查看器，可看日志

位置：%SystemRoot%\System32\Winevt\Logs

应用程序日志：Application.evtx

安全性日志：Security.evtx

系统日志：System.evtx

常用检测事件id：

4728：把用户添加进安全全局组，如Administrator组

4797：试图查询账户是否存在空密码

4624：登录成功日志

4625：登录失败日志

4672：表示特权用户登陆成功会产生的日志，如Administrator

4648：:其它登录情况

Linux

任务计划日志

crontab -l：查看当前任务计划有哪些，后门

ls /etc/cron*:

cat /var/log/cron：任务计划日志

ls /var/spool/mail

cat /var/spool/mail/root:

自启动日志