• 45
玫瑰花的用处
•
引言:勒索病毒是一种通过屏幕锁定或加密用户有价值的文件,并要求支付赎金来解除或解密文件的恶意程序。勒索病毒的溯源与取证即是威胁情报分析溯源并明确勒索病毒的种类,采用分析其恶意行为、对加密数字货币追踪、流量分析等方法进行取证。中国是勒索软件威胁的重灾区。2018年,中国成为亚太区受到勒索软件影响最严重的国家。较上年全球排名16位相比,2018年中国在全球排名第2(赛门铁克第23期《互联网安全威胁报告》)。
1 勒索软件的发展历史
1989 AIDS Trojan,两万份受感染的软盘被分发给了世卫组织国际艾滋大会的参加者手中。该木马的主要武器是对称加密。造成了大量文件被加密,这也是历史上第一个勒索软件;2006 Archievus,在首款勒索软件散布17年后,另一款勒索软件被发布了,是勒索软件历史上第一款使用了RSA加密的;无名木马,相隔5年,主流匿名支付服务让黑客利用勒索软件秘密敛财更加容易。产品相关的勒索软件木马在同年开始成为主流。一款模仿Windows产品激活通知让用户重新激活系统的木马就是诈骗用户的勒索软件。该软件提供虚假在线激活选项,但用户无法通过这个选项激活产品,只能按照引导去拨打一个国际电话。勒索软件宣称该号码是免费的,但呼叫实际上一接通便被搁置,让用户在勒索软件感染之余还要承担高额国际长途话费;2013 CryptoLocker,第一款通过被控制网站下载或伪装客户投诉电邮附件进行传播的加密型恶意软件。由于威胁行为人利用了现有的GameOver Zeus僵尸网络基础设施,CryptoLocker的扩散非常迅速。2014年的Tovar行动暂时遏制了GameOver Zeus木马,CryptoLocker便开始盯上分发和支持所用的点对点基础设施进行传播。CryptoLocker利用AES-256算法加密带特定后缀名的文件,然后用C2服务器上产生的2048比特RSA密钥来加密该AES-256密钥。C2服务器建在Tor网络中。这让解密万分困难,因为攻击者将RSA公钥保存在了他们的C2服务器上。使用CryptoLocker的黑客会威胁受害者说,如果三天内未收到赎金,私钥就会被删除;2017 Wannacry,永恒之蓝/MS17-010/445,由黑客团体Shadow Brockers(影子经纪人)公布一大批网络攻击工具。“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统的最高权限。不法分子通过“永恒之蓝”制作了Wannacry勒索病毒,被勒索支付高额赎金才能解密恢复文件。
2 关键技术
2.1 数字取证的需求
勒索病毒往往通过ftp、rdp等服务的弱口令或1day来进行扩散,针对弱口令的尝试登录都会被windows记录在日志中。在勒索病毒传播过程中,Windows日志往往会记录系统上的敏感操作,如添加用户,远程登录执行等。通过对windows日志的分析,可以获得勒索病毒大致入侵手段、入侵时间,并可以通过记录下的ip或者主机名回溯上一层病毒传播源,有利于对最终源头的挖掘与溯源。
2.2 相关证据的存储机制
尿检红细胞偏高是怎么回事Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关,以下列举出的事件ID的操作系统为Vista/Win7/Win8/Win10/ Server2008/Server 2012及之后的版本:
表1 常见Windows账户及相关事件对照表
应用程序日志、安全日志、系统日志、DNS日志默认位置:
妇科支原体是怎么感染上的
%systemroot%\system32\config,默认文件大小512KB。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT 系统日志文件:%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT Internet信息服务FTP日志默认位置:%systemroot%\system32\ logfiles\msftpsvc1\,默认每天一个日志。
马太受难曲
Internet信息服务WWW日志默认位置:%systemroot%\ system32\logfiles\w3svc1\,默认每天一个日志。
Scheduler服务日志默认位置:%systemroot%\
以上日志在注册表里的键:
应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。
Schedluler服务日志在注册表中。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
南京邮电大学计算机学院软件学院网络空间安全学院 李彦江 李成禹 叶 帅
• 46
•
查看方式:(1)通过面板位置如下:
酒店管理员Control PanelSystem and Security-View event logs-Windows Logs
警官英语
(2)通过Powershell 常用命令如下:(管理员权限)查看所有日志:Get-WinEvent
查看应用程序类别下的日志:
Get-WinEvent -FilterHashtable @{logname="Application";}2.3 相关证据的获取方法
手工提取方法一:
C:\Windows\System32\winevt\Logs 目录下提取出以下文件
Security.evtx
Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
Microsoft-Windows-TerminalServices-Re moteConnectionManager%4Operational.evtx
手工提取方法二:
win+r 输入eventvwr ,点开windows 日志下面的安全,然后点击右键里面的将事件另存为。导出日志。导出的文件是evtx 格式。另外两个日志是存在于应用程序和服务日志文件夹下 。Microsoft-Windows-TerminalServices-LocalSessionManager 这个为对应路径。Operational.e vtx 为需要导出的
日志。
自动化提取:使用python 脚本来将常见windows 日志从各个文件夹汇总统一放在桌面上,省去手工复制粘贴的繁琐,编写脚本。2.4 相关证据的分析方法
首先使用python-evtx 等evtx 文件解析库按照evtx 文件格式编写分析脚本来对汇总后的日志进行分析。
我们可以继续尝试搭建LogonTracer 这一款图形化分析工具帮助我们分析windows 日志 。搭建环境后导入windows 日志。
3 能够获得的证据展现
橄榄油煎牛排
图1 扫描IP
图2 确定勒索病毒传播源
图3 获取相应的证据
运行Windows Powershell ,执行logontracer.py 文件进行日志分析。LogonTracer 是一款通过可视化与分析Windows 活跃目录实践日志用于分析恶意日志的工具。这款工具与一个主机名(或IP 地址)关联,这款工具能够使事件id 与Windows 日志可视化。如图1所示。
由图2、3可发现,197.51.12.246这三个IP 触发了多个4625事件,有较大嫌疑,通过360ti 情报库和微步在线等在线情报库可发现这三个IP 确实为已知的僵尸网络或勒索病毒传播源。珠海长隆旅游攻略
4 总结
总而言之,本文基于Windows 平台勒索病毒的溯源与取证的研
究,分析了基于Windows 平台的勒索病毒的演变过程,本文所采用的追溯勒索病毒并提取相应证据的方法的实验结果证明是可行的。通过本文的基于Windows 平台勒索病毒的溯源与取证的方法,可以有效地进行相应的证据存储、获取、分析,具有良好的运用价值,这对个人、企业、社会都具有重要的意义。
作者简介:李彦江(1997—),男,南京邮电大学计算机学院、软件学院、网络空间安全学院本科生,研究方向为自然语言处理与信息安全。
