带网络蠕虫特性的挖矿木马处理 – 作者:BDXYG5

2020年8月3日,那是一个充满台风气息的早上,我早早到达单位开启了我一天的美滋滋的生活,惯例打开APT检查三大样 最近12小时的安全状态,较为明显的攻击载荷,较为明显的恶意连接,看起来风平浪静的安全告警我却发现了一丝暗流涌动,竟然发现一组服务器在打MS17-010然后还发现上古勒索病毒wannycry 。根据我丰富的经验判断肯定是有人打开封印了3年没用的电脑然后让病毒重返人间(事后核对了下····发现还真是这么回事,害,我不愧是事后诸葛亮啊哈哈哈哈)图片[1]-带网络蠕虫特性的挖矿木马处理 – 作者:BDXYG5-安全小百科

三年前实力不济未能一战的对手想不到现在能堂堂正正(偷偷摸摸)的来一次正面较量(卧槽偷偷摸摸感染了6-7台服务器我哭了)二话不说先检查先统一杀毒软件的病毒告警。图片[2]-带网络蠕虫特性的挖矿木马处理 – 作者:BDXYG5-安全小百科

发现杀毒软件是有挣扎过的-我瞅了眼时间点和现状得出了以下状况:

  • 杀毒软件可以查杀释放出来的文件-但是文件本体无法查杀导致一堆查杀日志
  • 病毒名称随机生成
  • 利用的端口为445端口的永恒之蓝漏洞(经过询问可能也存在弱口令就是那种满足强口令要求的弱口令)
  • 由于是内网环境我还考虑了是否是破解版软件把病毒带进来的
  • 目前存在该漏洞主机大概有XXX台
  • 手机话费还有19块5毛 直接打电话找帮助只能协助不到65分钟
  • 目前业务影响范围评估了下暂时不大
  • 确定了下各个业务的负责人和运维人员

由于我没有服务器操作权限,没办法对病毒进行进一步的跟进  

我分拣了下运维和我能做的部分

我能做的部分

  • 封禁该网络区域对外445连接 控制影响区间
  • 联系人员处置
  • 远程下发杀毒任务
  • 监控实时流量现状

运维人员做的

  • 1.使用火绒和金山安全进行病毒查杀  —- 快速查杀即可
  • 2.关闭445端口 或者安装MS17-010 号补丁
  • 3.检查服务端程序是否存在感染(比如网页木马等可能普通杀毒软件无法查杀)
  • 4.修改安全基线-保障防火墙是打开状态 -并且 密码修改过符合强口令

进过一阵表情包斗图对话后,按照上门的处置措施处置了4台,但仍有两台处置后会重复感染。(流量中看出来的仍然存在MS17-010的利用载荷)

检查了下进程列表发现了几个可疑的东西

  1. KMS
  2. exe
  3. 某破解软件

计划任务等并未发现存在问题

然后先干掉这些东西重启后检测3小时载荷

 图片[3]-带网络蠕虫特性的挖矿木马处理 – 作者:BDXYG5-安全小百科

止住了,哈哈哈哈哈哈

问题总结:

  • 内网还是存在没安装2017年三月那个重要的补丁
  • 资产管理和台账存在问题导致处理问题时间窗口过长
  • 不同运维人员的技能树不同协调起来其实非常痛苦-非常考验人的环节
  • 批量脚本可以解决问题但是会对业务造成影响

需要优化的点:

1.完善内网漏洞管理 

2.完善不同厂商的协调

3.实在不行快点自己顶上免得延误最佳处理时机 

4.批量化处理可能更适合处理同一批病毒

来源:freebuf.com 2020-08-04 14:39:45 by: BDXYG5

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论