作者简介:深信服上海区产品交付专家,精通深信服全线安全产品。独自交付上海区多个S级A级超大型项目,深耕运营商及教育行业,多次规划客户整体网络改造方案,深受深信服客户和代理商的信任。
事件背景
某企业客户2个重要业务系统中了勒索病毒,导致生产全面瘫痪,被迫支付高额赎金。需要找到设备受到感染原因,抑制病毒扩散。
排查溯源及改进建议
服务器排查
登录服务器被勒索服务器后,服务器的文件全部被加密成了.SATANA后缀结尾的加密文件,无法打开。如下图。
勒索病毒的勒索信息如下,此勒索病毒确认为GlobeImposter勒索病毒变种,该勒索病毒变种主要通过RDP爆破进行传播
查看被加密的服务器日志,发现服务器在凌晨存在大量被暴力破解记录
查询服务器最早被加密时间为7:37
在windows日志中搜索事件号,根据被加密时间,找到爆破登录时间点日志
爆破成功登陆时间点为7:34,与被加密时间吻合,查询到爆破源为85.15..这台外网IP
登录类型为10,为RDP的远程登录
通过微步情报网站查询此IP为俄罗斯的动态IP
查看被勒索服务器开放端口,对外开放了、等危险端口
通过查看客户出口防火墙策略,发现此服务器被出口防火墙将端口映射到公网,方便远程运维。且并未做对应封堵策略,或爆破防护策略。遭到来自公网85.15..爆破登录并注入勒索病毒
登陆另一台被加密服务器查看windows日志,发现并没有爆破的痕迹,是直接被上一台被入侵的服务器登陆过。
根据了解此服务器的用户名密码被保存再了上一台服务器中,判断出黑客通过入侵上一台服务器后当跳板机,直接对其注入勒索病毒
查看这台服务器依然开放了、等开放端口
系统中存在安全隐患
1.客户机开放了、、等高危端口,并映射到公网且未做相应封堵策略。
2.其他主机的登陆信息被直接保存在服务器中,造成连带失陷
安全加固和改进建议
1、重新安装操作系统,关闭相应端口映射并做封堵策略。
2、利用NSA免疫工具关闭,,,等端口。
3、重装服务器之后修改管理员密码,确保密码复杂度,建议使用VPN登录远程登录。
4、安装终端杀毒软件。
预览时标签不可点收录于话题#个上一篇下一篇转载请注明:http://www.wangguoqiangq.com/sglbdl/7378.html
