前言

最近一直在想思考一个问题——关于勒索病毒事件的溯源（由于勒索病毒的传播方式较多，因此这里我仅针对人工投毒问题进行分析），假设全网大面积中了勒索病毒，我们应该如何确认完整的攻击链路。

通常情况下会考虑到勒索病毒的传染性，因此会考虑通过查看文件加密时间来对比，确认终端或服务器感染病毒的先后顺序，最新感染的即最新被攻破，这里我认为并非如此，应视情况而定。

这里我说明一下本次的关键思想——基于二叉树结构的溯源思路，二叉树结构形状像一棵倒置的树，顶端是树根，树根以下带分支，每个分支还可再带子分支。

【二叉树结构图】

背景

最近遇到一客户，大片的服务器中了勒索病毒，不同网段间存在服务器中勒索病毒，不同机房也同样存在勒索病毒。在这样的前提下，客户要求找到勒索病毒的入侵点。

这种情况下如果要着手对这些设备进行分析，可能无法着手，因为无法理清每个设备间的感染关系，借此我们需要了解攻击者的思路。

攻击者思路把控

正常情况下，我们需要了解攻击者的攻击思路，如红蓝对抗一样，攻击者和红队思路一样，但两者结果导向相差甚远，红队主要拿系统权限，而攻击者的目的是对系统文件进行加密。红队突破边界后，通常会对内网进行漫游，找到突破口，攻击方式如同二叉树结构一样，像一棵倒置的树，顶端是树根，树根以下带分支，每个分支还可再带子分支。攻击者的攻击思路也是如此，如突破A设备后，以A设备为跳板，对B设备攻击，以此循环，直到达到目的，完成最终勒索。攻击者思路如【F->C->D->B】，见二叉树结构图。，

勒索事件分析思路

通过对攻击者思路进行把控后，我们了解到攻击者思路后，则需找到破局之法。由于设备已中勒索，因此该设备便在攻击链路上，因此我们只需要找到一台设备进行分析，根据被勒索设备上保存的数据进行倒推攻击者攻击路线，即可完成攻击点入口的排查。排查思路如：【D->C->F】，见二叉树结构图。

案例分析

本次案例中，勒索病毒为buran勒索病毒，详细排查过程如下。

10.20.200.192设备日志分析

由于发现10.20.200.192在8月31日晚上23点左右存在大量3389端口登录，怀疑该设备存在异常，因此远程登录该设备对该设备进行分析。

登录10.20.200.192设备，发现该设备已中勒索病毒。

勒索病毒确认

通过对勒索信息和加密后缀进行分析，确认该勒索病毒为buran勒索病毒：

• 勒索病毒提示信息：

• 勒索病毒后缀为1A8-749-854

Windows登录日志查看

通过对登录日志进行分析发现IP：10.20.201.93在勒索时间前登录该设备：

• 20.201.93于2020/9/5 3:38:45登录10.20.200.192设备：

来源：freebuf.com 2020-11-25 16:23:28 by: bbbbbbig