某客户受到讹诈病毒进犯,总共的数据都被加密了,客户曾经用火绒举行了病毒查杀,不过数据曾经无奈复原,需求排查解析,溯源事项。
事项影响描绘:1、致使主机文献拜访反常,影响一般办公;
2、主机已被黑客遏制,也许存在数据透露以及内网横向进犯的也许。
事项排查经过:反常形势确认:1、翻开主机发觉讹诈形势,encrypted。2、发觉桌面文献被加密,后缀名为.eking
溯源解析经过:1、将文献后缀放入病毒探求引擎,显示病毒家眷为Phobos,罕见侵犯权谋为RDP爆破。
2、应用Everything探求.eking文献,按批改时光排序,也许开端肯定讹诈行动产生在/11/:34。
3、观察启动项,发觉疑忌程序1.exe
4、Everything探求1.exe,放到要挟谍报平台观察,肯定其为讹诈病毒,且发觉该目录还存在processhacker,其创立时光为/11/:28:57。
5、应用LastActivityView排查加密时光20分钟先后的操纵脚印,发觉在/11/4/11:34的时光运转了一个讹诈病毒1.exe,在上头文献批改时光之前。并在运转之前运转了processHacker.exe以及artifact.exe,前者为观察经过对象,目标该当为竣事杀软经过(火绒),并上传讹诈文献以及后门文献,后者从名字看为CS歹意后门程序。
6、Everything找到该程序,上传到要挟谍报平台,肯定为CS远控木马。
7、观察系统平安日记,发觉讹诈病毒运转后的日记已被清除。
10、观察Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx系统长途登录日记,发觉/11/:27之前存在大批RDP暴力破译行动,并于/11/:27:15时,进犯者10..8.4应用test用户登录胜利。
事项解析论断:/11/:27:15进犯者(10..8.4)RDP爆破胜利登录test账号——/11/:29运转processHacker.exe竣事杀软——/11/:33:53运转artifact.exe(CS木马远控)举行权力保持——/11/:34:21运转1.exe(讹诈程序)举行文献加密——/11/:37:46加入事项经管器,并于/11/:49:22清除系统平安日记。
事项救急处分:1、清除1.exe、processhacker和后门文献。2、禁用启动项。
3、清除CS木马。
4、开启防火墙,批改账户暗号为强暗号。
5、如非须要关上、、、、端口,且关上映照。
平安隐患:技能题目:账号平安
口令平安
暗号生气足繁杂度请求。
未建设防爆破计谋。
高危端口/效劳
发觉部份效劳器面向互联网怒放rdp效劳,存在被爆破及侵犯的也许。
内网大批效劳器、末端怒放、、等高危端口,黑客可哄骗这些端口举行口令爆破、裂缝哄骗以及侵犯的操纵。
经管题目:平安意识题目
关于内网主机的平安性不敷器重,比方内网主机存在弱口令等。
平安整理创议技能加固创议账号平安
口令平安
暗号繁杂度-最短暗号长度请求八个字符,暗号含罕见字、巨细写英文字母和特别字符。并克制多台效劳器雷同口令。
禁用Guest账号,禁用或清除其余无用账号。
禁用administrator账号,为跳板机用户特地建设新的账号。
账号试验登岸5次后,将该账号举行封闭半小时,不能运转登岸的禁令。
高危端口/效劳
经过边境防火墙束缚不须要面向互联网怒放的端口;若必需怒放,创议设定拜访的白名单。
在内网防火墙、EDR或主机上关上或束缚、、等高危端口的怒放;若部份端口必需怒放,创议补充拜访的白名单。
平安经管创议平安意识题目
按期开展救急演练处事。
加倍运维人员平安意识培训。
应用互联网营业平安监测,加紧判断网站平安题目。
说明:技能文章均搜聚于互联网,仅做为自己研习、纪录应用。侵权删!!!
预览时标签不成点收录于合集#个