新闻中心

0512-87776578

szsl@sl2500.com

分享|记一次Sodinokibi勒索病毒应急响应

时间:2020-05-19 10:24:52   作者:   来源:

 

1.客户背景
由我们协助某电信分公司溯源分析这次勒索病毒安全事件发生的过程
2.攻击环境
操作系统:Windows server2012 x64
应用类型:对外提供web服务

  
主机ip/域名
  
59.x.x.x
入侵主机情况描述
服务器被植入勒索病毒,文件被加密
主要用途及应用
对外提供web服务
行为表现
服务器被植入勒索病毒,文件被加密
安全防护措施
WAF/防火墙,配置公网IP

 






3.事件处置结果
  
问题综述
  
服务器被植入勒索病毒,文件被加密,加密文件的后缀为. lp4970c0d0
  
处置结果
  
此次勒索病毒为最新的Sodinokibi勒索病毒。  
  
对此勒索病毒攻击事件进行回溯分析
  
遗留内容
  
1.主机永恒之蓝补丁没打  2.服务器密码需要更改  3.系统需要进行加固

4.事件排查过程
服务器被植入勒索病毒,文件被加密,加密文件的后缀为. lp4970c0d0,根据勒索界面和加密后缀判断该勒索病毒为最新版本的勒索病毒Sodinokibi,该病毒暂时没有密钥对加密的文件进行解密;
可以看到在每个目录下会生成名为lp4970c0-readme.txt勒索信息文件,通过勒索信息文件,以及加密的后缀判定为Sodinokibi勒索病毒。
5.溯源分析过程
   查看加密文件的生成时间,判断服务器被入侵的时间为51号凌晨13:14:02

  通过分析系统日志得出,造成被入侵的原因是从内网的一个IP过来的,并在130714时被ip地址为192.168.x.x登录并植入勒索病毒:

登录之后在13:12安装kprocesshacker.sys为服务,processhacker为黑客工具,用来结束杀软等守护进程的
并在13:14的时候执行多个powershell计划任务,删除本地的磁盘卷影副本
powershell -e
RwBlAHQALQBXAG0AaQBPAGIAagBlAGMAdAAgAFcAaQBuADMAMgBfAFMAaABhAGQAbwB3AGMAbwBwAHkAIAB8ACAARgBvAHIARQBhAGMAaAAtAE8AYgBqAGUAYwB0ACAAewAkAF8ALgBEAGUAbABlAHQAZQAoACkAOwB9AA==”,其中base64解码后为
Get-WmiObject Win32_Shadowcopy |ForEach-Object {$_.Delete();}”,其功能为删除卷影副本,防止通过卷影副本的方式恢复被加密文件

并且通过技术手段检测,该主机未及时更新系安全补丁,导致存在严重系统漏洞补丁,具体漏洞编号为MS17-010
查看该主机系统日志发现该主机存在被恶意ip大量爆破的行为。
并且在系统中存在有国外IP连接过的记录,确认服务器很早就被黑客控制拿到了权限。
该主机在13:14时通过域控192.168.x.x远程59.63.x.x植入勒索病毒,加密整个盘符相关文件。
6.应急事件结论
服务器中的勒索病毒为Sodinokibi,暂时没有密钥进行解密。服务器被入侵的时间为5月1号下午13:07:。造成被入侵的原因是该主机密码被黑客获取,并在13:14:01时被ip地址为192.168.x.x域控登录并植入勒索病毒。经过检测该主机还存在严重系统漏洞补丁未打,漏洞编号为MS17-010;主机也存在大量的3389爆破登录失败日志,远程桌面对公网开放,可作为黑客爆破入侵的入口点,由于其他的原因不能对域控进行溯源分析,其实我们是要最终分析出域控是怎么被入侵的
 

 来源:深信服社区

 

下一篇:返回列表