实战中应急响应溯源思路
⼀、孽缘之我与病毒
⾄2017年5⽉12⽇起,“勒索病毒”⼀词以迅雷之势出现在⼤众眼前,很多管理者谈之⾊变,令⼈恐惧的不是病毒,⽽是加密。⼤部分计算机使⽤⼈员当遇到病毒的第⼀时间,想到的⽆⾮以下两种做法:杀毒软件查杀或拷贝⽂件重装系统。当勒索软件出现的那⼀刻,这两种⽅式已失去了意义。有时终端电脑数据丢失都会令⼈伤⼼难过;当服务器数据中勒索病毒时,你便会苦笑不得,数据没有丢失,还在设备上,可是却⽆法使⽤。
2017年5⽉是我接触安全的第⼆年,我以渗透测试⼯程师的⾝份进⼊信息安全⾏业,这⼀年却因为勒索病毒改变了我的⾏业。那个时候在上家公司,我信息安全这⼀块就我⼀⼈,那夜我记得格外的清晰,⼤晚上睡不着,在床上玩⼿机,突然⼀张照⽚在群⾥发送,看了⼀眼,全是英⽂没什么兴趣,准备关掉微信继续玩⼿机,这时另⼀条信息弹了出来,内⽹为勒索病毒席卷欧洲医疗单位,当时就想,什么玩意呀,那么厉害,从此便踏上了应急响应之路,在应急的道路越⾛越远。
2017年5⽉~2018年7⽉⼏乎每天都和病毒打交道,这⾥我将2017年⾄今遇到的病毒列举如下(能记住的):2017.5—WannaCry;
汉语语音
2017.6—NotPetya;
2017.8—流氓软件(在系统中创建⽂件,⽆法删除);
2018.3—xmr挖矿病毒(windows);
2018.3—10WannaMine1~4;
2018.9—GlobeImposter;
2019.11—Sodinokibi;
2019.12—xmr挖矿(linux);
2020.4—RobbinHood勒索
……
⼆、鸿蒙之初思路初成
思路每个⼈来说并不陌⽣,从⼩开始就习惯这各种思路,如:
1、⼩学⽣上学时,需要前往学校,在家与学校之间会选择⼀条道路,选择道路的过程时候⼀种思路;
2、初中⽣做物理作业时,当他遇到遇到已到关于摩擦⼒的题时,他需要算出答案,结题的过程是⼀种思路;垃圾分类英文
3、⾼中⽣在⾼考报名时,选择学校,选择学校的过程是⼀种思路。
immediate
不管遇到任何问题,我们都会去想该怎么做,不管是遇到问题时举⼿投降,还是在困难⾯前勇敢平博⼀次,还是停⽌不前,这都是思路。
这⾥我讲解⼀下我的思路。每次⼯作中遇到的应急,我会把每个应急看成⼀个⽬的地,⽽抵达⽬的地的路径则是应急过程中的思路,抵达⽬的地的路径有很多,⽽最短路径则是⼯作经验。与病毒不断接触的过程中,我不断学习不同病毒的特征和病毒的传播⽅式,积累各种思路,尤其是勒索病毒的溯源(注意:溯源我通常是从结论出发,倒推过程)。
三、⽜⼑⼩试之Sodinokibi勒索病毒溯源
前段时间在⼀客户处做Sodinokibi勒索病毒的过程中,觉得这⼀次很有意思,在此我分享⼀下。
3.1⽹络概述
中勒索病毒设备为A系统,该系统处于内⽹,与互联⽹⽆数据交换;系统中间件使⽤的是IIS。
2.3勒索病毒确认
通过后缀名和勒索信息弹框确认该勒索病毒是Sodinokibi,确认勒索病毒后,于是回想该勒索病毒的传播⽅式:
1、钓鱼邮件;
2、利⽤RDP传播;
3、利⽤Weblogic漏洞传播;
由于A系统与互联⽹⽆数据交换,可能有的⼩伙伴在这⾥就思路就被掐断了。这⾥我们分析⼀下:
1、⾸先A系统为服务器,且与互联⽹⽆数据交换,因此可以排除钓鱼邮件;
2、中间件为IIS,因此可以排除Weblogic漏洞传播;出国出国留学
3、排除以上两种⽅式后,只剩下RDP传播,可是该系统是在内⽹,为什么会是RDP传播呢?
4、可不可能是有内⿁,⼈⼯投毒呢?
wep是什么意思由于⼈⼯投毒问题不好分析,因此暂且跳过。
3.3确认⽂件加密时间
medium是什么意思japan girl fucking通过对⽂件修改时间进⾏查看,了解加密时间20:59:40(这个是⼤致加密时间,不⼀定为病毒执⾏时间,病毒执⾏到全部⽂件加密需要⼀定的时间)。
3.4确认系统安全⽇志和攻击者IP
3.4.1爆破⽇志确认
查看系统安全⽇志,发现存在多个账户登录;在勒索时间前存在⼤量4625登录失败为3类型的⽇志,但⽆相关登录IP信
查看系统安全⽇志,发现存在多个账户登录;在勒索时间前存在⼤量4625登录失败为3类型的⽇志,但⽆相关登录IP信息和⽤户信息,如下:lovely什么意思
拿到这些信息后转移战场,转到Microsoft-Windows-RemoteDesktopServices-RdpCoreTS%4Operational该⽇志。
在这⾥可以发现rdp登录相关信息。
在这⾥我们⾸先看到的是任务类型RemoteFX,然后事件ID均为3位数,与通常我们所需要的4625⽇志不同,处看可能会觉得这些信息⽆⽤,但实际并不然。⾸先我们需要了解什么是RemoteFX——RemoteFX是微软在Windows 7/2008 R2 SP1中增加的⼀项桌⾯虚拟化技术,使得⽤户在使⽤远程桌⾯或虚拟桌⾯进⾏游戏应⽤时,可以获得和本地桌⾯⼀致的效果。了解该信息后,对以上⽇志进⾏分
析,发现事件ID为140的⽇志记录了来⾃xx的登录失败信息,扫选了⼀下,发现该信息均为被加密前。研究生网上预报名
3.4.2RDP登录信息
通过对⽇志进⾏分析发现存在RDP的登录,如下:
在线取英文名
3.4.3检测是否创建服务
这⾥主要检测7045⽇志,这个⽇志很有趣,如下:可以看这样⼀张运⾏了(卸载赛门铁克杀软),⼀张运⾏了kpreocesshacker.sys
通过以上信息和猜想结合,验证⾃⼰的思路,即通过RDP爆破远程桌⾯⽤户名和密码,通过3389登录A系统,然后卸载赛门铁克杀毒软件,安装processhacker⼯具,最终投放勒索病毒(由于攻击者攻陷了与互联⽹存在通信的B系统,以B 系统作为跳板登录A系统,完成整个勒索过程,这⾥B系统⽇志分析与A系统相同,在此省略)。
四、总结
像极了⾛迷宫,如果你从开始⽅向往终点⽅向进⾏,则很⼤程度上会迷路,但是如果你从终点往开始⽅向⾛,则很简单。
