前言
最近一直在想思考一个问题——关于勒索病毒事件的溯源(由于勒索病毒的传播方式较多,因此这里我仅针对人工投毒问题进行分析),假设全网大面积中了勒索病毒,我们应该如何确认完整的攻击链路。
通常情况下会考虑到勒索病毒的传染性,因此会考虑通过查看文件加密时间来对比,确认终端或服务器感染病毒的先后顺序,最新感染的即最新被攻破,这里我认为并非如此,应视情况而定。
这里我说明一下本次的关键思想——基于二叉树结构的溯源思路,二叉树结构形状像一棵倒置的树,顶端是树根,树根以下带分支,每个分支还可再带子分支。
【二叉树结构图】
背景
最近遇到一客户,大片的服务器中了勒索病毒,不同网段间存在服务器中勒索病毒,不同机房也同样存在勒索病毒。在这样的前提下,客户要求找到勒索病毒的入侵点。
这种情况下如果要着手对这些设备进行分析,可能无法着手,因为无法理清每个设备间的感染关系,借此我们需要了解攻击者的思路。
攻击者思路把控
正常情况下,我们需要了解攻击者的攻击思路,如红蓝对抗一样,攻击者和红队思路一样,但两者结果导向相差甚远,红队主要拿系统权限,而攻击者的目的是对系统文件进行加密。红队突破边界后,通常会对内网进行漫游,找到突破口,攻击方式如同二叉树结构一样,像一棵倒置的树,顶端是树根,树根以下带分支,每个分支还可再带子分支。攻击者的攻击思路也是如此,如突破A设备后,以A设备为跳板,对B设备攻击,以此循环,直到达到目的,完成最终勒索。攻击者思路如【F->C->D->B】,见二叉树结构图。,
勒索事件分析思路
通过对攻击者思路进行把控后,我们了解到攻击者思路后,则需找到破局之法。由于设备已中勒索,因此该设备便在攻击链路上,因此我们只需要找到一台设备进行分析,根据被勒索设备上保存的数据进行倒推攻击者攻击路线,即可完成攻击点入口的排查。排查思路如:【D->C->F】,见二叉树结构图。
案例分析
本次案例中,勒索病毒为buran勒索病毒,详细排查过程如下。
10.20.200.192设备日志分析
由于发现10.20.200.192在8月31日晚上23点左右存在大量3389端口登录,怀疑该设备存在异常,因此远程登录该设备对该设备进行分析。
登录10.20.200.192设备,发现该设备已中勒索病毒。
勒索病毒确认
通过对勒索信息和加密后缀进行分析,确认该勒索病毒为buran勒索病毒:
- 勒索病毒提示信息:
- 勒索病毒后缀为1A8-749-854
Windows登录日志查看
通过对登录日志进行分析发现IP:10.20.201.93在勒索时间前登录该设备:
- 20.201.93于2020/9/5 3:38:45登录10.20.200.192设备:
来源:freebuf.com 2020-11-25 16:23:28 by: bbbbbbig
请登录后发表评论
注册