勒索病毒溯源之基于二叉树结构的溯源思路 – 作者:bbbbbbig

前言

最近一直在想思考一个问题——关于勒索病毒事件的溯源(由于勒索病毒的传播方式较多,因此这里我仅针对人工投毒问题进行分析),假设全网大面积中了勒索病毒,我们应该如何确认完整的攻击链路。

通常情况下会考虑到勒索病毒的传染性,因此会考虑通过查看文件加密时间来对比,确认终端或服务器感染病毒的先后顺序,最新感染的即最新被攻破,这里我认为并非如此,应视情况而定。

这里我说明一下本次的关键思想——基于二叉树结构的溯源思路,二叉树结构形状像一棵倒置的树,顶端是树根,树根以下带分支,每个分支还可再带子分支。

1606291744_5fbe11206b79f1381c617.png!small?1606291743061

【二叉树结构图】

背景

最近遇到一客户,大片的服务器中了勒索病毒,不同网段间存在服务器中勒索病毒,不同机房也同样存在勒索病毒。在这样的前提下,客户要求找到勒索病毒的入侵点。

这种情况下如果要着手对这些设备进行分析,可能无法着手,因为无法理清每个设备间的感染关系,借此我们需要了解攻击者的思路。

攻击者思路把控

正常情况下,我们需要了解攻击者的攻击思路,如红蓝对抗一样,攻击者和红队思路一样,但两者结果导向相差甚远,红队主要拿系统权限,而攻击者的目的是对系统文件进行加密。红队突破边界后,通常会对内网进行漫游,找到突破口,攻击方式如同二叉树结构一样,像一棵倒置的树,顶端是树根,树根以下带分支,每个分支还可再带子分支。攻击者的攻击思路也是如此,如突破A设备后,以A设备为跳板,对B设备攻击,以此循环,直到达到目的,完成最终勒索。攻击者思路如【F->C->D->B】,见二叉树结构图。

勒索事件分析思路

通过对攻击者思路进行把控后,我们了解到攻击者思路后,则需找到破局之法。由于设备已中勒索,因此该设备便在攻击链路上,因此我们只需要找到一台设备进行分析,根据被勒索设备上保存的数据进行倒推攻击者攻击路线,即可完成攻击点入口的排查。排查思路如:【D->C->F】,见二叉树结构图。

案例分析

本次案例中,勒索病毒为buran勒索病毒,详细排查过程如下。

10.20.200.192设备日志分析

由于发现10.20.200.192在8月31日晚上23点左右存在大量3389端口登录,怀疑该设备存在异常,因此远程登录该设备对该设备进行分析。

登录10.20.200.192设备,发现该设备已中勒索病毒。

勒索病毒确认

通过对勒索信息和加密后缀进行分析,确认该勒索病毒为buran勒索病毒:

  • 勒索病毒提示信息:

1606291392_5fbe0fc0307f476c31e21.png!small?1606291390894

  • 勒索病毒后缀为1A8-749-854

1606291447_5fbe0ff72b083fb38702d.png!small?1606291445842

Windows登录日志查看

通过对登录日志进行分析发现IP:10.20.201.93在勒索时间前登录该设备:

1606291461_5fbe100532bd84f862005.png!small?1606291459974

  • 20.201.93于2020/9/5 3:38:45登录10.20.200.192设备:

1606291472_5fbe1010

来源:freebuf.com 2020-11-25 16:23:28 by: bbbbbbig

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论