应急响应模板

编写进度

应急响应分类:

  • 勒索病毒(Rasomware) 是伴随数字货币星期的一种新型病毒木马,
    机器一旦遭受勒索病毒攻击,将会使绝大多数文件被非对称加密算法和对称加密算法组合的方式进行篡改,并添加一个特殊后缀。
    绝大大叔勒索病毒均无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原加密文件。
    常见的勒索病毒有WannaCry、GlobeImposter、Dharma等。

  • 挖矿(Mining)木马 是一种利用被入侵计算机的算力挖掘加密数字货币以谋取利益的木马, 

它会采用多种安全对抗技术(如修改任务计划、修改防火墙配置、修改系统动态链接库等)手段驻留在服务器中。

常见的挖矿木马: WannaMine、Mykings、Bulehero等。

  • 网站后门(Webshell)
    Webshell是一种带有文件操作、命令执行等功能的网页脚本,常见脚本如下:
  • JSP:
    <% Runtime.getRuntime().exe(request.getParameter("cmd")) %>
  • ASP:
    <% eval request("cmd") %>
  • PHP:
    <?php eval($_GET[“cmd"]);?>

事件预判

事件背景
xxxx年x月x日,x公司内网服务器遭遇(挖矿木马、勒索病毒、网站被篡改)。
应急响应工程师在抵达现场后,对包含服务器在的x台机器进行系统排查和日志分析。

  • 发现服务器大量资源被占用,初步判断内网多台服务器均感染挖矿病毒。
  • 确定内网多台服务器均感染xx勒索病毒,该公司多区,多台服务器重要数据均被加密。
  • 确定服务器已被植入webshell后门。

中勒索病毒的特征

  • 业务系统无法访问(50%)
  • 桌面新txt文件(60%)
  • 文件后缀被篡改(80%)
  • 勒索信展示(100%)

中挖矿木马特征

  • 服务器CPU使用率飙升,系统卡顿,部分服务无法正常运行等现象
  • 根据安全监测设备的告警判断,挖矿木马会与矿池地址建立连接

确定挖矿开始时间

  1. 查看矿池地址
    挖矿木马会与矿池建立连接,通过安全监测类设备查看第一次连接矿池地址的时间,可作为初始时间

  2. 查看计划任务创建时间
    挖矿木马通常会创建计划任务,定期运行,可以查看计划任务的时间,但计划任务存在更新的情况,会刷新时间

  3. 挖矿木马文件创建时间
    可以判断挖矿木马运行的初始时间,但也存在被计划任务定时运行而更新木马文件创建的时间。

中webshell特征

  • 网页被篡改(植入暗链、异常字段等)
  • 安全设备告警

事件排查

勒索病毒排查思路

重点关注网络连接、进程、任务计划等信息,针对windows还需关注启动项和注册表
若涉及溯源和证据固定,可提前对可疑对象做好备份,对涉及的可疑系统用户组可先进行禁用操作,防止出现可疑内容删除而无法溯源和提供证据的发生。

挖矿木马排查思路

挖矿木马一般会创建恶意的进程连接矿池,利用系统内存、CPU、GPU资源进行挖矿,
同时会通过创建用户、服务、任务计划、修改注册表、启动项、防火墙策略等手段来实现病毒的持久化。
需重点关注用户、异常IP连接、进程、服务、任务计划

Webshell排查思路

如果网站被植入暗链或单击出现意外跳转到其他网站,应首先排查网站首页的相关的js文件。

  1. Webshell排查
    使用工具(D盾等)对网站目录进行扫描,定位webshell并清除。

  2. Web日志分析
    对访问网站的Web日志进行分析,重点关注已知的入侵事件前后的日志记录。

  3. 系统排查
    防止获取webshell后进行后续提权等操作

  4. 网络流量排查

事件处理

勒索病毒

确认勒索病毒事件后,需及时对勒索病毒进行清理并进行相应的数据恢复工作,同时对服务器/主机进行安全加固,避免二次感染。

  1. 隔离问题主机,断开网络连接
  2. 在网络边界防洪墙上全局关闭3389端口,或3389端口只对特定IP地址开放
  3. 开启Windows防火墙,尽量关闭135、139、445、3389等不用的高危端口
  4. 每台机器设置唯一登陆密码,且应设置高强度的密码,位数在15位以上,包含大小写字母,数字,特殊字符。
  5. 安装最新杀毒软件,对被感染机器进行安全扫描和病毒查杀
  6. 对系统进行补丁更新,封堵病毒传播路径
  7. 结合备份的网站日志对网站应用进行全面代码审计,找出攻击者利用的漏洞入口,进行封堵
  8. 使用全流量设备对全网中存在的威胁进行分析,排查问题

挖矿木马

  1. 封堵矿池地址
  2. 结束异常进程
  3. 清理计划任务、禁用可疑用户
  4. 清除挖矿木马
  5. 全盘杀毒、加固

Webshell

事件总结

综上,对发现的线索进行梳理如下:

  1. xx
  2. xx
  3. xx
  4. xx
  5. xx
    综上分析,
    此次内网服务器所感染的病毒为XX挖矿蠕虫病毒。
  • 通过收集病毒感染的服务器日志信息,发现最早感染的主机为堡垒机应用服务器,感染时间为Y/m/d H:M:S.
  • 通过收集分析堡垒机应用服务器所有日志信息,排除人为投毒的可能性。
  • 通过阅读解密后的脚本内容发现,该脚本<脚本运行的逻辑描述,通过分析该下载文件,可判断该文件为挖矿木马的母体。

IP地址为x.x.x.x的主机最先远程登录到IP地址x.x.x.x的主机,先进行一系列扫描及内部RDP暴力破解等操作,并通过x.x.x.x的主机进行横向移动,寻找有价值的服务器进行人工投毒,植入类似病毒进行攻击。

后续防范

  1. 服务器、终端防护
    1. 所有服务器、终端应强行实施复杂密码策略,杜绝弱口令
    2. 杜绝使用通用密码管理所有机器
    3. 安装杀毒软件、终端安全管理软件,并及时更新病毒库
    4. 及时安装漏洞补丁
    5. 服务器开启关键日志收集功能,为安全事件的溯源提供支持
  2. 网络防护与安全监测
    1. 对内网的安全域进行合理划分,各个安全域之间严格限制访问控制列表(ACL),限制横向移动的范围
    2. 配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份。
    3. 重要业务系统及核心数据库应设置独立的安全区域,并做好区域边界的安全防御工作,严格限制重要区域的访问权限,并关闭Telnet、SNMP等不必要、不安全的服务
    4. 在网络内架设IDS/IPS设备,及时发现、阻断内网的横向移动行为
    5. 在网络内架设全流量记录设备,以发现内网的横向移动行为,并为溯源提供支持
  3. 应用系统防护及数据备份
    1. 需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控
    2. 对业务系统及数据进行及时备份,并定期验证备份系统及备份数据的可用性
    3. 建立安全灾备预案,一旦核心系统遭受攻击,需要确保备份业务系统可以立即启用,同时做好备份系统与主系统的安全隔离工作,避免主、备系统同时被攻击,影响业务连续性

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 askding@qq.com

💰

×

Help us with donation