回忆上一年实习的时候做过的勒索病毒溯源,没多大技术含量,就是个分析思路的分享,所以历史久远无任何图片。最近正好应需要从渗透测试转向安全分析搞威胁情报,当作小白入门文吧。后续会继续分享”日志分析”,”计算机取证”,”网络取证”,”恶意代码逆向分析”,”溯源”等一系列学习笔记实验及项目经验技巧
背景:
19年作为乙方安全服务在某政府单位驻场,当时是实习生,刚进去的时候是三月份了,勒索病毒是病毒防护检测设备定期扫描出来的,时间为1月中旬,然后是4月初甲方爸爸要向他爸爸交差(也就是甲方爷爷),所以就叫我溯的源。没错,隔了两个多月。
具体情况和溯源分析过程如下:
在1月18日凌晨3点发现svn服务器,备份服务器,需求服务器三台服务器感染了永恒之蓝勒索病毒,中毒服务器向外发送445端口的数据包。通过安全服务人员在防火墙配置相关安全策略进行隔离,并利用防病毒软件进行病毒查杀,影响面并未扩大。应甲方要求,对三台服务器中病毒进行溯源。由于时隔两个多月,受感染主机上的病毒样本已被删除,且由于病毒防护检测设备过期更换新设备,已根本无法获得病毒样本。
1. 首先在网上找对“永恒之蓝”病毒的详细分析资料,清楚病毒的工作流程和传播方式,及样本文件名等信息。然后想对三台主机的安全日志进行分析,但发现全部处于默认未开启状态,遂对三台服务器的系统日志进行分析,但没发现有用的信息。
2.想到内部部署有很多安全防护检测设备,于是找到网络拓扑图,发现迪普UMC统一管理中心极有可能记录有三台主机的网络会话记录。于是着力对三台主机的历史网络会话进行分析。
2.1 首先要找出源头感染主机,知道该病毒通过135、137、138、139、445端口进行感染及扩散,所以查找三台受害主机在被检测出病毒前一段时间内(本次查找的是前24小时内)的全部入方向的135、137、138、139、445端口访问记录,发现备份服务器在病毒被查杀出的前一段时间并无任何主机对其有上述可疑端口的网络请求,且查杀出的文件截图里根据文件名仅有加密程序和配置文件,并无病毒母体和提权文件,经询问后是该服务器很久之前有中过该勒索病毒并做过查杀加固处理,所以可确定为之前病毒专杀工具没有彻底查杀清除而遗留的残余文件,无实际危害性。为慎重起见,查询这台备份服务器的全部出方向历史网络记录,并未发现对内网任何其他主机有上述可疑端口的网络请求,进一步佐证该备份服务器非本次病毒的源头,且无危害性。svn服务器和需求服务器两台主机入方向中仅有445端口的记录,但数据量大,有大量其他主机对其有入方向行为,似乎有正常的445端口业务。
2.2 于是接下来交叉查询svn服务器和需求服务器两台服务器相互的历史会话记录并对比,发现在1月17日到1月19日期间两台服务器之间没有相互的445等可疑端口的会话请求记录,由此可排除两台服务器中一台感染病毒导致另外一台被内网传播感染的可能性。因此,可初步判断这两台主机均非源头主机,极有可能为另外一台未知主机对其进行的同时攻击感染。
2.3 注意到病毒被查杀隔离时间为1月18日03时05分,因此查询svn服务器和需求服务器两台主机在17日到18日04时进行445等可疑端口会话的全部记录进行对比。发现在18日0时28分左右,IP为10.xx.x.61的主机与两台服务器均有445端口会话产生,遂将10.xx.x.61定为可疑主机。进一步查询可疑主机(10.xx.x.61)17日到18日04时全部的445等可疑端口会话,发现该主机有进行随机ip的445端口侦测活动,符合被感染主机横向扩散时的扫描特征。
2.4 综合以上时间线及病毒传播行为特征分析,最终基本确定主机(10.xx.x.61)为本次svn服务器和需求服务器中勒索病毒的源头主机。备份服务器为遗留文件产生的查杀告警。
3. 最后并未对源头主机(10.xx.x.61)进行进一步溯源,因为询问中发现该主机为某医院到此机房的一条专线,不属于所管范围,即不属于责任范围内,如果没有上级同意,不能进行溯源。一是多管闲事,二是无论结果如何,都会对对方机房的运维或领导造成工作不力等之类的影响。吃力不讨好的事就别为了显示自己有能力就擅自去做了。所以最后好像是通报过去让对方整改,后续就不了了之了。
来源:freebuf.com 2020-06-09 18:32:39 by: bypassword
请登录后发表评论
注册