1.背景 在2024年3月23日,Solar應(yīng)急響應(yīng)團(tuán)隊(duì)(以下簡(jiǎn)稱Solar團(tuán)隊(duì))應(yīng)某公司之邀,介入處理了一起財(cái)務(wù)系統(tǒng)服務(wù)器遭受黑客攻擊的事件。該事件導(dǎo)致服務(wù)器上大量文件被加密。Solar 團(tuán)隊(duì)迅速獲取了一個(gè)被加密的文件,并立即開始了解密工作。通過細(xì)致的分析,Solar團(tuán)隊(duì) 確定了這是來自mallox家族的一種最新變種——rmallox。 Solar團(tuán)隊(duì) 的解密專家采用多種技術(shù)手段,成功恢復(fù)了被加密的測(cè)試文件。在隨后的工作中,Solar團(tuán)隊(duì)深入進(jìn)行了系統(tǒng)的解密和恢復(fù)工作,清除了黑客留下的后門,修復(fù)了受損的服務(wù)文件,并徹底還原了整個(gè)攻擊鏈條。Solar團(tuán)隊(duì) 識(shí)別并修復(fù)了系統(tǒng)中的各項(xiàng)安全漏洞,并在獲得客戶授權(quán)后,對(duì)其財(cái)務(wù)管理系統(tǒng)進(jìn)行了深入的滲透測(cè)試。測(cè)試中發(fā)現(xiàn)了一個(gè)0day漏洞 ,Solar團(tuán)隊(duì) 隨后與該系統(tǒng)的制造商聯(lián)系,并協(xié)助其完成了漏洞的修補(bǔ)工作,確保了系統(tǒng)能夠在兩天內(nèi)全面恢復(fù)正常運(yùn)行狀態(tài)。 在溯源方面,Solar團(tuán)隊(duì) 發(fā)現(xiàn)客戶系統(tǒng)遭遇了來自兩個(gè)不同地區(qū)黑客團(tuán)伙的攻擊。盡管這兩波攻擊行為間隔了數(shù)月,但令人注目的是,兩個(gè)團(tuán)伙都利用了相同的財(cái)務(wù)系統(tǒng)0day漏洞進(jìn)行入侵,并使用了同一種國(guó)內(nèi)知名的shell管理工具上傳webshell。這種相似性暗示了兩者之間可能存在某種聯(lián)系。尤其值得注意的是,第二個(gè)團(tuán)伙屬于一個(gè)有名的境外勒索軟件組織,而第一個(gè)黑客則利用了國(guó)內(nèi)一款著名 ERP系統(tǒng) 的0day漏洞,這進(jìn)一步增加了兩者聯(lián)系的可能性。 本文詳細(xì)介紹了Solar團(tuán)隊(duì) 如何有效地應(yīng)對(duì)并解決勒索病毒這一網(wǎng)絡(luò)安全事件,展示了Solar團(tuán)隊(duì) 在勒索軟件應(yīng)對(duì)和應(yīng)急響應(yīng)方面的專業(yè)能力。Solar團(tuán)隊(duì) 期待與更多的安全同行分享經(jīng)驗(yàn)和案例,共同提高對(duì)抗網(wǎng)絡(luò)威脅的能力。歡迎大家關(guān)注Solar團(tuán)隊(duì) 的公眾號(hào),了解更多關(guān)于勒索病毒防御和應(yīng)急響應(yīng)的知識(shí)和案例。
2.溯源分析 2.1 受災(zāi)情況統(tǒng)計(jì) 2024年3月24日,Solar應(yīng)急響應(yīng)團(tuán)隊(duì)到達(dá)該集團(tuán)現(xiàn)場(chǎng),最終情況如下:
被加密服務(wù)器數(shù)量 1臺(tái) 被加密文件總數(shù) 759898個(gè) 被加密數(shù)據(jù)大小 1.27TB 后門路徑 1個(gè) 后門木馬 18個(gè) 數(shù)據(jù)恢復(fù)時(shí)長(zhǎng) 1天 數(shù)據(jù)恢復(fù)率 99%
統(tǒng)計(jì)出的被加密服務(wù)器情況:
圖中數(shù)據(jù)已脫敏,僅作示例參考
2.2 最初攻擊時(shí)間 1.入口點(diǎn)IP為192.168.0.xx,該服務(wù)器上運(yùn)行某管理系統(tǒng)平臺(tái),遠(yuǎn)程桌面無弱口令。
2.最初加密時(shí)間為2024年3月23日 17:22。
3.初步排查日志推測(cè)入口點(diǎn)為該服務(wù)器搭建的管理系統(tǒng)平臺(tái),當(dāng)日(2024年3月23日) IIS日志 被清空至上午10:13:43。
2.3 Windows日志查看 1.Security日志無爆破記錄,但有異常外聯(lián)行為。
該IP指向美國(guó)惡意IP
2.4 后門排查 1.在2024年3月22日已存在攻擊,且其他端口服務(wù)也存在1024.aspx。
2.后門排查時(shí),在網(wǎng)站文件上傳路徑以及網(wǎng)站備份路徑中都發(fā)現(xiàn)多個(gè)webshell后門,在23年12月7日的日志中就能發(fā)現(xiàn)被攻擊歷史,可推斷該服務(wù)器搭建的管理系統(tǒng)平臺(tái)長(zhǎng)期存在漏洞。
3.于2024年3月23日 17:21:39執(zhí)行勒索工具admin.exe。
4.加密時(shí)CPU使用率及磁盤讀寫。
5.清除amcache歷史記錄。
2.5 攻擊方法 1.MSSQL執(zhí)行xp_cmdshell日志,推測(cè)是該服務(wù)器搭建的管理系統(tǒng)平臺(tái)存在SQL注入(0day)。
2.經(jīng)驗(yàn)證,存在SQL注入,并且可以os-shell,可以執(zhí)行系統(tǒng)命令,獲取權(quán)限。
3.利用webshell管理工具中的提權(quán)工具,可將web低權(quán)限提升至system最高權(quán)限。
2.6 詳細(xì)攻擊路徑 2024年3月24日,根據(jù)對(duì)日志的調(diào)研分析,安全專家已梳理出入侵路線如下(已脫敏): 該服務(wù)器最早的攻擊歷史可追溯至2023年12月6日,黑客A(該攻擊者IP為國(guó)內(nèi)某家用寬帶IP)通過服務(wù)器上搭建的某財(cái)務(wù)系統(tǒng)0day上傳了多個(gè)webshell(222.ashx、q1.aspx等),此時(shí)并未做勒索加密行為;黑客B(該攻擊者IP為境外IP)在2024年3月22日,依舊通過該財(cái)務(wù)系統(tǒng)0day入侵,上傳了“1024.aspx”的webshell,隨后攻擊者實(shí)施勒索攻擊并將當(dāng)天IIS日志進(jìn)行清空,通過Security日志排查到在2024月03/15 17:17:15存在異常外聯(lián)行為,外聯(lián)IP為195.xxx.xx.xx和xxx.105.xxx.xx。2024/03/23 17:21:39執(zhí)行勒索工具admin.exe進(jìn)行數(shù)據(jù)勒索加密,期間對(duì)外連接訪問IP91.xxx.xx.xxx,該IP被判定為惡意地址,根據(jù)日志推測(cè)該服務(wù)器搭建的管理系統(tǒng)平臺(tái)存在SQL注入漏洞和文件上傳漏洞(0day),通過滲透測(cè)試可得出能利用該漏洞進(jìn)行提權(quán),驗(yàn)證了后續(xù)勒索加密的操作。建議對(duì)該系統(tǒng)進(jìn)行補(bǔ)丁修復(fù)。 進(jìn)一步分析顯示,盡管黑客A和黑客B的攻擊行為間隔了數(shù)月,但兩者通過相同的財(cái)務(wù)系統(tǒng)0day漏洞進(jìn)行入侵,且均使用了國(guó)內(nèi)某知名shell管理工具上傳的webshell,這暗示了兩者之間可能存在一定聯(lián)系。特別是考慮到,黑客B所屬的組織是一個(gè)知名的境外勒索軟件團(tuán)伙,而黑客A最初利用的是國(guó)內(nèi)某知名ERP系統(tǒng)的0day漏洞,這進(jìn)一步加深了兩者聯(lián)系的疑問。 綜上所述,我們面臨的是一個(gè)復(fù)雜且協(xié)調(diào)的網(wǎng)絡(luò)安全威脅,不僅涉及國(guó)內(nèi)外多方面的攻擊者,也暴露了我們系統(tǒng)中存在的關(guān)鍵漏洞。立即采取措施修補(bǔ)這些漏洞,同時(shí)加強(qiáng)系統(tǒng)的整體安全架構(gòu),是我們首要的任務(wù)。此外,深入調(diào)查這些攻擊者之間的潛在聯(lián)系,可能揭示更廣泛的安全威脅模式,為我們提供防御這類攻擊的關(guān)鍵情報(bào)。
3.病毒分析 3.1威脅分析 病毒家族 mallox 首次出現(xiàn)時(shí)間/捕獲分析時(shí)間 2023年8月28日 || 2024年3月20日 威脅類型 勒索軟件,加密病毒 勒索軟件地區(qū) 疑似俄羅斯聯(lián)邦 加密文件擴(kuò)展名 .rmallox 勒索信文件名 HOW TO BACK FILES.txt 有無免費(fèi)解密器? 無 聯(lián)系郵箱 mallox.resurrection@onionmail.org 檢測(cè)名稱 Avast (Win32:RansomX-gen [Ransom]), AhnLab-V3 (Ransomware/Win.Ransom.C5011664), AliCloud ( RansomWare ), Avast (Win32:RansomX-gen [Ransom]), Avira (no cloud) (HEUR/AGEN.1319014), BitDefenderTheta (Gen:NN.ZexaF.36802.muW@a83MUGci),ClamAV(Win.Ransomware.Rapid-9371249-0), Cybereason (Malicious.0fe686),Cynet(Malicious (score: 100)),DrWeb(Trojan.Encoder.37869),eScan(Trojan.GenericKD.70329037), Fortinet (W32/Filecoder.MALL!tr.ransom),Google(Detected) 感染癥狀 無法打開存儲(chǔ)在計(jì)算機(jī)上的文件,以前功能的文件現(xiàn)在具有不同的擴(kuò)展名(.rmallox)。桌面上會(huì)顯示一條勒索要求消息(HOW TO BACK FILES.txt)。網(wǎng)絡(luò)犯罪分子要求通過洋蔥路由登錄到他們提供的數(shù)據(jù)恢復(fù)網(wǎng)站,根據(jù)不同的用戶情況,黑客的開價(jià)也不同 感染方式 受感染的電子郵件附件(宏)、惡意廣告、漏洞利用、惡意鏈接 受災(zāi)影響 大部分文件(不包括exe dll等文件,與重要系統(tǒng)文件)都經(jīng)過加密,如果不支付贖金無法打開。黑客聲稱拿到了電腦內(nèi)的重要數(shù)據(jù),若不支付贖金則會(huì)在黑客的blog上公開
3.2加密前后對(duì)比 加密后
解密后
加密前
加密后
3.3 詳細(xì)分析 詳情可見: 【病毒分析】mallox家族rmallox變種加密器分析報(bào)告
4.解密恢復(fù) Solar團(tuán)隊(duì)安排工程師去到客戶現(xiàn)場(chǎng),線下協(xié)助客戶進(jìn)行勒索病毒解密恢復(fù),最終成功解密和恢復(fù)了被加密的數(shù)據(jù)文件,同時(shí)還對(duì)客戶的網(wǎng)絡(luò)安全情況做了全面的評(píng)估,并提供了相應(yīng)的解決方法和建設(shè)思路,獲得了客戶的高度好評(píng)。
5.后門排查 完成解密后,Solar團(tuán)隊(duì)使用專用后門排查工具對(duì)客戶服務(wù)器的自啟動(dòng)項(xiàng)、計(jì)劃任務(wù)、可疑網(wǎng)絡(luò)連接、賬號(hào)密碼強(qiáng)度、可疑進(jìn)程等項(xiàng)目進(jìn)行了排查,將遺留后門全部清除。并對(duì)隱患項(xiàng)提出了安全加固建議,確保不存在遺留后門,并對(duì)服務(wù)器進(jìn)行快照及備份處理。下表為安全加固排查總表:
6.滲透測(cè)試 本次滲透測(cè)試經(jīng)客戶授權(quán)前提下操作
6.1 滲透測(cè)試結(jié)果 本次滲透測(cè)試目標(biāo)為:
本次滲透測(cè)試共發(fā)現(xiàn)3個(gè)漏洞(0day),其中2個(gè)高危,1個(gè)中危,漏洞類型包括:SQL注入漏洞、任意文件上傳漏洞、未授權(quán)訪問
6.2 修復(fù)建議 確保只有授權(quán)用戶或系統(tǒng)可以訪問該路徑,可以通過設(shè)置文件系統(tǒng)權(quán)限、網(wǎng)絡(luò)訪問控制列表(ACL)等方式限制訪問權(quán)限。 使用身份驗(yàn)證和授權(quán)機(jī)制,如用戶名密碼、令牌、證書等來驗(yàn)證用戶身份,并授予適當(dāng)?shù)脑L問權(quán)限。 實(shí)施多層次的安全措施,如使用防火墻、網(wǎng)絡(luò)隔離、VPN等來保護(hù)路徑免受未經(jīng)授權(quán)的訪問。 在接收用戶輸入或處理數(shù)據(jù)時(shí),應(yīng)該對(duì)敏感字符進(jìn)行過濾和清理,以防止惡意代碼注入、跨站腳本攻擊等安全威脅。 使用白名單過濾機(jī)制,只允許特定的字符或格式通過,而拒絕其他不符合規(guī)范的輸入。 考慮使用安全編碼庫或框架來處理用戶輸入,確保對(duì)敏感字符的過濾和轉(zhuǎn)義操作是正確且完整的。 對(duì)上傳文件格式、內(nèi)容進(jìn)行過濾: 在接收用戶上傳的文件時(shí),應(yīng)該檢查文件格式、內(nèi)容是否符合預(yù)期,并進(jìn)行必要的驗(yàn)證和過濾。 限制允許上傳的文件類型和大小,避免惡意文件上傳和執(zhí)行,例如通過文件擴(kuò)展名、MIME 類型等進(jìn)行驗(yàn)證。 對(duì)上傳的文件進(jìn)行安全掃描和檢測(cè),確保文件不包含惡意代碼、病毒等危險(xiǎn)內(nèi)容。 7.安全建議
7.1 風(fēng)險(xiǎn)消減措施 資產(chǎn)梳理排查目標(biāo): 根據(jù)實(shí)際情況,對(duì)內(nèi)外網(wǎng)資產(chǎn)進(jìn)行分時(shí)期排查
服務(wù)方式: 調(diào)研訪談、現(xiàn)場(chǎng)勘查、工具掃描
服務(wù)關(guān)鍵內(nèi)容: 流量威脅監(jiān)測(cè)系統(tǒng)排查、互聯(lián)網(wǎng)暴露面掃描服務(wù)、技術(shù)加固服務(wù)、集權(quán)系統(tǒng)排查
7.2 安全設(shè)備調(diào)優(yōu) 目標(biāo)
通過對(duì)安全現(xiàn)狀的梳理和分析,識(shí)別安全策略上的不足,結(jié)合目標(biāo)防御、權(quán)限最小化、縮小攻擊面等一系列參考原則,對(duì)設(shè)備的相關(guān)配置策略進(jìn)行改進(jìn)調(diào)優(yōu),一方面,減低無效或低效規(guī)則的出現(xiàn)頻次;另一方面,對(duì)缺失或遺漏的規(guī)則進(jìn)行補(bǔ)充,實(shí)現(xiàn)將安全設(shè)備防護(hù)能力最優(yōu)化。
主要目標(biāo)設(shè)備
網(wǎng)絡(luò)安全防護(hù)設(shè)備、系統(tǒng)防護(hù)軟件、日志審計(jì)與分析設(shè)備、安全監(jiān)測(cè)與入侵識(shí)別設(shè)備。
7.3全員安全意識(shí)增強(qiáng) 目標(biāo):
通過網(wǎng)絡(luò)安全意識(shí)宣貫、培訓(xùn)提升全方位安全能力
形式:
線下培訓(xùn)課表
若無法組織線下的集體培訓(xùn),考慮兩種方式:
1.提供相關(guān)的安全意識(shí)培訓(xùn)材料,由上而下分發(fā)學(xué)習(xí)
2.組織相關(guān)人員線上開會(huì)學(xué)習(xí)。線上培訓(xùn)模式。
線上學(xué)習(xí)平臺(tái)
該文章在 2024/4/1 18:38:48 編輯過