一次云端排查让勒索病毒当众“伏法”  | 反勒索病毒暗战第一期 – 作者:深信服千里目安全实验室

提到勒索病毒,总能和巨额赎金、信息泄露等等重大安全隐患事件联系起来。比如近期发生的勒索攻击致美国半个能源系统停摆的事情。

但不是所有的勒索病毒都能成功入侵。

最近,深信服 EDR 安全团队就发现了这样一起“勒索未遂”的故事——勒索病毒在用户开启RDP 服务时入侵,利用暴力破解手段试图入侵破坏企业数据,被深信服 EDR 安全团队发现及时排查清除。

那么,具体该勒索病毒的入侵路径究竟是怎样的呢?

我们一起来看下。

反勒索病毒入侵全纪录

发现威胁

首先,代入一下场景。

某天,深信服安全专家君哥正在通过深信服 EDR 云端查杀数据分析监控着世界各地的病毒去向。

突然,君哥发现用户的客户端收到了一条告警提醒,仔细一看事情不妙,马上开始排查。

按照规矩,深信服安全专家立刻用云端日志展开了远程“调查”,通过安全云脑威胁情报获取到对应的样本文件,安全专家在本地进行了行为分析,证实确实为勒索病毒,该勒索病毒分别名为Makop、Milleni500。

勒索信息

检出哈希

检出路径

makop勒索(.[主机ID].[[email protected]].makop)

5A5EEA73423A2F0CA02F96889CC3E0A9

c:\users\administrator\music\yandex\.mc_v.exe

62B18BD9C157AFEE97E0E9356AB50805

c:\users\administrator\music\yandex\.mc_auto.exe

Milleni500勒索(.secure[[email protected]])

26E847347B4D56B7AC5C10789F4C1EB6

%temp%\2s3ddfffut.exe

附勒索病毒详细信息:

1、Makop勒索病毒的勒索信息如下:

图片[1]-一次云端排查让勒索病毒当众“伏法”  | 反勒索病毒暗战第一期 – 作者:深信服千里目安全实验室-安全小百科

2、Milleni500勒索病毒的勒索信息如下:

图片[2]-一次云端排查让勒索病毒当众“伏法”  | 反勒索病毒暗战第一期 – 作者:深信服千里目安全实验室-安全小百科图片[3]-一次云端排查让勒索病毒当众“伏法”  | 反勒索病毒暗战第一期 – 作者:深信服千里目安全实验室-安全小百科

注:云端数据只上传病毒查杀日志,包括设备ID、查杀时间、病毒文件哈希、查杀路径,但不会上传客户文件,未告警的正常文件也不会上传任何信息,不会造成敏感信息泄露。

于是,君哥联系到对应的用户对EDR管理平台和告警终端进行详细排查。

如何入侵

那么,这个病毒究竟是如何入侵的?

我们一步步往下看。

首先,通过对EDR管理平台检测日志的分析,发现产生告警的来源于一台监控服务器,该服务器对外网开启了RDP服务。其中,静态文件检测进行了告警,并对勒索病毒文件进行了自动处置:

图片[4]-一次云端排查让勒索病毒当众“伏法”  | 反勒索病毒暗战第一期 – 作者:深信服千里目安全实验室-安全小百科

紧接着,深信服安全专家对该勒索病毒进行了更深层次的溯源发现,该用户终端一直在遭受持续的暴力破解攻击。

根据EDR日志告警的勒索病毒上传目录,与该勒索病毒一同检出的还有大量黑客工具:包括NS(用于内网扫描)、everything(正常的文件搜索工具,没有实际威胁)、ClearLock(一款锁屏软件)、bat脚本(用于删除备份卷影)。

图片[5]-一次云端排查让勒索病毒当众“伏法”  | 反勒索病毒暗战第一期 – 作者:深信服千里目安全实验室-安全小百科

图片[6]-一次云端排查让勒索病毒当众“伏法”  | 反勒索病毒暗战第一期 – 作者:深信服千里目安全实验室-安全小百科

但通过everythin排查主机上的EXE文件,未发现其他可疑情况,排查asp、aspx、jsp、php等后缀的文件,未发现异常。

此外,由于服务器系统日志保留时间较短,无法查到入侵时间点的日志信息,且排查未发现webshell和明显入侵途径,入侵方式暂不明确,因此无法溯源到最初的入侵IP。

不过,好在该用户开启了EDR文件实时监控、勒索病毒防护实时监控以及自动处置策略,成功拦截了本次事件中上传的勒索病毒,避免了一次“惨剧”发生。

安全建议

虽然这一次该用户“逃过一劫”,但对付勒索病毒除了依靠深信服 EDR 实时监测外,更需要企业平时的自我防护,才能让勒索病毒无可乘之机。

因此,针对该用户的具体情况,深信服 EDR 安全团队也给出了一套行之有效的建议:

1、建议关闭RDP服务,不要对外网直接映射RDP服务,如有业务需要,建议使用EDR的微隔离对于威胁端口进从策略访问控制并封堵或者使用VPN。

2、使用EDR的基线检查功能,查找系统中存在的弱密码,并及时通知相关责任人进行修改。

服务器密码使用复杂密码,且不要与其他主机密码重复、不要与外部账号密码重复,防止泄露;并使用KeePass等密码管理器对相关密码进行加密存储,避免使用本地明文文本的方式进行存储。

3、系统相关用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强运维人员安全意识,禁止密码重用的情况出现,并定期对密码进行更改;

4、已开启EDR的RDP暴力破解并自动封堵功能,当出现暴力破解事件时,及时检查密码强度,并通知相关终端的责任人及时修改相关密码;

5、建议开启EDR的RDP二次登录验证功能

6、使用EDR进行全网的漏洞扫描,发现并及时修补高危漏洞,及时打上补丁;

7、定期进行全盘扫描,建议安排安全人员定期进行日志分析,提前规避高危风险点。也可以联系安服团队进行公司网络安全的全面检查。

来源:freebuf.com 2021-05-15 09:59:14 by: 深信服千里目安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论