接到这个安全应急响应任务是在夏末一个燥热的日子里,客户是某省级政府部门,其主机操作系统是Windows,已经部署有某安全厂商的主机安全产品,在找到我们应急的时候,该安全厂商的安全产品已经被击穿,无法清除感染的恶意代码文件。
线索追查
和寻医问诊类似,首先需要对客户的主机“症状”进行判断,该客户的主机表现形式为:恶意代码程序会启用多个进程占用CPU资源,导致CPU使用率长期处于100%,影响正常业务的运行,且该恶意代码程序启动的进程在被强制关闭后能够自动重启,无法被根除。
以上是整个事件的“症状”。
由于客户物理距离上的遥远,这次应急响应任务不得不采用远程协助的方式进行,具体方式为先远程登录一台客户的跳板机,再通过该跳板机排查业务相关主机存在的问题。
根据经验,首先检查Windows的计划任务,一下子就发现了问题,具体截图如下:
映入眼帘就是这个blackball的计划任务,这使我一下子就想起了某安全威胁情报中心的一篇文章《永恒之蓝木马下载器发起 “黑球”行动,新增SMBGhost漏洞检测能力》,该文将此类攻击事件命名为“黑球”行动。
攻击方式为通过钓鱼、爆破、漏洞利用等方式发起攻击,攻击成功后从C2地址下载攻击模块,通过下载的攻击模块发起持久性攻击,继续下载其他攻击模块,通过漏洞利用、爆破、钓鱼等方式传播,将挖矿程序注入Powershell.exe运行,并且安装没有实际作用的计划任务blackball。
经过调查,主机实际情况与情报有些微的差距,攻击程序采用随机名称技术来隐藏自身,每次生成一个计划任务和*.exe的文件,通过执行*.exe,实现重复传播和注入挖矿程序。一段时间后即能在主机中生成多个计划任务、*.exe文件和多个Powershell.exe程序,导致占用CPU资源,使CPU使用率长期处于100%。截图如下:
基于以上情报和分析,设计基本处理思路:
1、禁用进程创建后,结束被恶意代码注入的进程,删除相关启动项,计划任务,删除恶意代码文件,删除恶意代码创建的临时文件。
2、修改口令、安装补丁修复MS17-010、CVE-2020-0796等漏洞,防止被持久性攻击重新感染。
3、重新启动业务持续,持续监测修复效果。
执行修复
第一步,使用安芯网盾系统信息检测工具-【PCHunter】(https://www.anxinsec.com/view/antirootkit/)禁止进程的创建,然后再使用PCHunter去结束恶意代码启动的进程,包括cmd、Powershell、*.exe等,然后清理恶意代码创建的计划任务、服务、启动项,处理完毕之后取消PCHunter对创建进程的限制,截图如下:
第二步,清理恶意代码创建的程序文件,临时文件,这些文件一般位于C:\Windows,C:\Windows\system32,C:\Windows\temp等位置,截图如下:
第三步,安装系统补丁,安装系统补丁可能会导致兼容性问题,因此需要先在测试环境测试过业务系统的兼容性后再执行。全部执行完毕之后,让业务系统正常运行,每隔一段时间检查一遍,确认恶意代码成功清除并且不再被重新感染。
经历了一天高强度的应急响应处置之后,恶意代码清除完毕,但在第二天的检查中发现*.exe、cmd、Powershell等进程均重新开始运行并且占用系统资源,经过一段时间的重新排查和分析,判断WMI可能隐藏有恶意脚本,对WMI进行检查,果然发现恶意脚本的踪影,截图如下:
事后感言
客户核心服务器感染病毒,外部攻击利用永恒之黑漏洞进入,通过无文件攻击进行挖矿,服务器性能被消耗,严重影响业务运行。虽然安装了传统防护软件,但病毒依然成功运行。安芯网盾技术服务团队通过系统信息检测工具(PCHunter)对病毒样板进行了清除,帮助客户解除了危机,但是免不了一场心惊胆战。
业务服务器如果被攻陷,其对应的业务系统受到的影响或者损失是无法估量的。当前的安全威胁不断升级,业务服务器面临源源不断的新的漏洞风险,内存保护系统可以在未打补丁的情况下进行有效防御。
来源:freebuf.com 2020-10-15 15:28:22 by: 安芯网盾
请登录后发表评论
注册