「干货」中了勒索病毒怎么办(二)?
通过昨天的文章,想必大家多勒索病毒都有了一个初步的了解。那就听我们就了解下当中了勒索病毒后,我们应该怎么处理。
中了勒索病毒千万不要慌,针对勒索病毒的应急,我们的排查也可以基于PDCERF模型,当然勒索病毒还是比较特殊的,第一时间还是先对所有中毒主机进行断网处理。可以参照以下的步骤:
梳理资产,确认灾情 保留现场,断开网络 确认诉求,
聚焦重点 样本提取,数据收集 判断家族,尝试解密
溯源取证,封堵源头 加固防御,以绝后患
梳理资产,确认灾情
中了勒索病毒,首先明确好当前资产现状,确认好灾情。制定一个表格,确认好哪些资产是被勒索病毒感染,哪些目前还比较安全,多少台是服务器,多少台是终端。所中勒索病毒,是否为同一种?可以参照下图表格进行信息的收集。
信息收集表
保留现场,断开网络
第一时间将所有中招主机进行物理隔离方式(如拔网线),这样可以防止进一步扩散,造成二次伤害。至于其它未中招的主机,建议根据灾情实际情况,选择是否隔离网络。建议所有主机都隔离网络,等应急结束,加固完成后,再放通网络。
中招主机隔离后,建议保留现场,不要破坏环境或者格式化系统,除非不需要做溯源取证和入侵原因分析,不然会给后续做防御加固、解密恢复带来困难。通常来讲,中招主机也不要断电,不要重启,如果真的需要数据恢复,可以找专业的厂商来解决。
确认诉求,聚焦重点
确认诉求,是勒索病毒应急响应的核心。
首先,受害者企业必须知道自己的核心诉求是什么,这样应急响应人员可以根据核心诉求,按照紧急程度依次开展工作。包括不限于:数据解密、加固防御、入侵分析(溯源取证)、样本分析、内网安全状况评估等等。受害者最关心的,则优先投入,优先响应排查。
样本提取,数据收集
提取系统日志:将C:\Windows\System32\winevt\Logs目录拷贝一份到桌面,然后在桌面上将其压缩为以中招主机命名的压缩包,例如:192.168.1.1-windows-log.zip
提取加密文件:选取若干文件较小的被加密文件,留作后面解密尝试,以及用于判断勒索病毒家族。
判断病毒文件是否还在加密
使用everything文件检索工具,查询勒索病毒后缀,确定加密时间。
按修改时间排序,观察是否有新的被加密文件。如果正在加密,立刻关机,关机后可将磁盘进行刻录用来分析;如果已经停止加密,则继续进行操作。
判断病毒文件是否在本机
由于勒索病毒通常都会对其所能访问到的共享文件夹进行加密,所以病毒文件有可能并不在被加密的主机中。
判断方法为:观察是否只有部分文件夹被加密,由于勒索病毒一般都是全盘加密的,除了排除几个系统文件夹比如“Windows”等以保证系统正常运行外,对于其他文件夹都是无差别加密,所以只有部分文件夹被加密一般都是共享文件夹的情况,查看被加密的文件夹属性,看是否都为共享就可确认。
收集系统日志文件
Windows系统日志目录为“C:\Windows\System32\winevt\Logs”,整个打包出来就行了。进行分析,查找中毒时间段内有什么IP登录中毒主机。是否存在rdp、smb暴力破解行为。当然应用日志我们也可以收收集。
查找病毒文件
勒索病毒文件通常都比较新,可以使用everything搜索“*.exe”,按修改时间(或创建时间)排序,如下:
病毒文件名或伪装成系统文件如“svchost.exe”、“WindowsUpdate.exe”,或直接用加密后缀命名如“Ares.exe”、“Snake.exe”,或者其他奇怪的名字如“dll.exe”等等。总之,就是看起来“不太正常”的exe文件(文中的[user]通指的当前系统的用户名,用户名可能是administrator,也可能是具体人名,请根据实际用户名进行替换)。
按照这样的方法找到可疑文件,可以通过查询VirusTotal(计算md5查询,最好不要直接上传文件)、在虚拟机中运行或者直接提供给安全团队进行确认。
大多数情况下使用这种方法都能够找到病毒文件,找不到的话可以用工具全盘扫描。另外由于一些病毒有自删除行为,所以不一定能找到病毒文件,比如CryptOn。
判断家族,尝试解密
可以通过文件后缀或者黑客邮箱进行查询。
查询网址如:
https://c.quk.cc/3/b92c/1klgbwy5wka >https://id-ransomware.malwarehunterteam.com/
溯源求证,封堵源头
查看登陆过本机的IP
(1)打开事件事件日志
我的电脑 -> 右键 -> 管理 -> 事件查看器。
(2)找到RDP连接日志
应用程序和服务日志 -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManager
选中Operational,右边就出现了RDP的日志信息,点击操作窗口筛选当前日志,填入事件ID号1149,就能看到所有RDP登陆过当前主机的IP,这样就能溯源出黑客的跳板机了。
(3)查看本机登陆过的IP
打开注册表,打开此路径:HKCU\Software\Microsoft\Terminal Server Client。
选中Default可以看到连接过的IP。
选中Servers -> [IP]可以查看登陆名。
其他溯源方式
如果中招的企业内网,已部署相应的网关产品,则可以通过网关日志,确定爆破源和扫描源。另外,也可以通过文件修改时间,确定各个主机之间的先后感染顺序,一般来讲,最开始被感染的主机,都是内网被撕开的口子,即内网入侵点之所在。
另外,这里给出几个勒索病毒常见的入侵工具:
Mimikatz密码窃取工具,其日志如下
通常来讲,该工具命名如下:
Advanced IP Scanner,功能比较强大,支持多种协议(包括RDP),可对单台,也可对整个网段进行扫描,甚至可实现完全控制。
ProcessHacker是一款不错的进程分析工具,不过常被黑客用来对抗杀毒软件,例如在运行勒索前,卸载掉杀毒软件。
如果在中招主机上,发现上述黑客工具,则说明这台主机正在成为跳板主机。
加固防御,以绝后患
加固防御,也是勒索病毒应急响应的重要组成部分,是防止二次伤害,二次中招的关键步骤,主要的加固和防御方向如:避免弱口令,避免多个系统使用同一口令;漏洞管理,定期漏扫,及时打补丁,修复漏洞;安装杀毒软件,定期杀毒;数据备份,对重要的数据文件定期进行非本地备份;安全意识宣传,包括不使用不明来历的U盘、移动硬盘等存储设备、不要点击来源不明的邮件以及附件、不接入公共网络也不允许内部网络接入来历不明外网PC。用户可以根据实际情况,选择以下操作步骤。
关闭潜在威胁服务及窗口
启用并打开“Windows防火墙”,进入“高级设置”,在入站规则新建规则。
关闭无业务需求服务器的 UDP 137、UDP 138、以及 TCP 139、445 端口
封堵漏洞,打上补丁
可以使用systeminfo命令查看补丁信息
更改账号密码,设置强密码
对于运维人员来说,特别是当服务器数量比较大的时候,通常为了管理方便,都使用统一的帐号密码。另外,为了易于记录,防止忘记密码,管理人员又可能设置譬如123456等弱密码。很多时候,误以为内网场景,就不会被存在被攻击的可能性。
上图,表明了统一的账号弱密码的危险性。一旦所有服务器都设置统一的弱密码,则意味着每台都极易被攻破,而一旦某台被攻破,其它服务器也可使用相同密码进行入侵,进而出现在极短时间内,大规模瘫痪的现象。
在此,可见,不仅要设置强密码,并且最好每台服务器的密码都不相同。
以上,一家之言,欢迎指教