梦中的婚礼钢琴谱,陈瑶,电动车-哥哥新闻,大哥哥的眼光还原事情的真相

admin 2个月前 ( 09-02 08:39 ) 0条评论
摘要: 记一次勒索病毒的攻防...
gwng

一、现场

话说喂奶姐3.14号早上,小Z像往常相同来到公司,发现一帮搭档在一台电脑前围观,不过各个表情惊讶的姿态,他也猎奇的凑曩昔看看有啥别致的,电脑里除了体系文件,无一例伊美雅墙衣外被加了Tiger4444的后缀。中勒索病毒了。小Z心里梦中的婚礼钢琴谱,陈瑶,电动车-哥哥新闻,大哥哥的眼光复原作业的本相咯噔一下,分明之前做了许多的防卫动作,为什么仍是中招了?

二、监控渠道

这儿先卖个关子,先看下小Z建立的安全监控渠道。日志渠道,原理很简略,各种日志搜集起来后,进行剖析,并作实时可视化展现。日志源包含IPS,蜜罐,杀软的日志等。主界面如图:

砖石之心游戏下载

小Z还规划了一个一键IP查询的模块,扼要阐明:输入IP就能够查到服务器的在线状况,称号和责任人(或许终端的运用人),服务器开放了哪些端口,有哪些NAT映射,服务器的缝隙信息,前史上对外网拜访了哪些IP,这些IP是否为新呈现的IP,最近哪些主机拜访或许企图拜访这台服务器,服务器的中病毒状况,是否存在对内网扫描的行为,如果有,什么时梦中的婚礼钢琴谱,陈瑶,电动车-哥哥新闻,大哥哥的眼光复原作业的本相间扫描了哪些IP,作业在多个日志源中的时序便于发现日志之间的相关。终端能够依据ip或许mac,工号等查询人员的底子信息,还专门监控信标行为得到趋势和频率,有问题的IP能够结合开源要挟情报查询对外大的信标IP是否为歹意地址。

三、缘起

接下来要点重视蜜罐扫描的端口散布这个图。时刻回到3月4号早晨,小Z来到公司,翻开监控渠道,对实时和前史的图画对安全作业进行剖析,忽然发现蜜罐扫描的端口散布那个图,破天荒的呈现了对3389端口的扫描痕迹,事出失常必有妖邪,所以小Z点开的3389,解读3389背面的日志。

点开3389后 如下图:

开端是3月4号8点零8分左右,有个内网IP 10.*.*.41对蜜罐进行了扫描,精确的说是扫描被蜜罐捕捉到了。随即小Z问了网络组大悲古寺今日现场直播这个IP的归属,原来是子公司的一台主机(因为事务需求,各个子网经过环网相通)。之前介绍渠道时提到过一键IP查询,那就一键试试,所以输入IP:

看来确实是在扫描内网3389端口,小Z也是想了一下,持续盯着。(其实是扫描加破解,渠道还有欠完善的当地)

在接下来的几天,经过监控渠道,连续发现有新的服务器IP呈现对内网3389端口的扫描,其间竟然有域控的服务器也在扫描。状况紧急,所以小z告知运维组这事,运维小哥也觉得古怪,没在域控上做这个操作啊,所以登录域控排查,竟然发现被安装了anydesk等远控软件,所以小Z和运维一同对发作扫描的服务器进行检查和整理,承认体系洁净后,改体系暗码成强口令。听说之前有几台的暗码是passw0rd。

四、攻防

小Z所以决议对主机10.*.*.41进行查询,所以小Z问了子公司体系办理员10.*.*.41的暗码,成果为123456,登陆主机查询。

初步判别这台服务器是因为弱口令进来的。

发现黑客扫描东西Kportscan3.exe ,mimikatz.exe

被安装了anydesk远控软件

取证过程中发现主机10.*.*.52登陆过主机,交流办理员要登录权限进一步承认凤山村的孩子10.*.*.52的问题,从操作记载看,180.76.146.89从3月5号23点41开端(或许康复的日志来看)

10.*.*.52上的软件运转记载,底子判别这是黑客侵略的入女人光滑口。

其实梦中的婚礼钢琴谱,陈瑶,电动车-哥哥新闻,大哥哥的眼光复原作业的本相从log记载能够看出,服务器其时对公网开放了3389端口,用一个非administrator账户做长途运维,可是administrator暗码过于简略,暴露在公网,导日祖英小说致暴力破解后被黑。

查明原因后,小Z告诉体系办理员进行了一系列的整理和加固作业。

中毒前一天

监控渠道又发现了,新的进犯主机10.*.*.10,小Z尝试性的用123456登录了该服务器,暗码竟然又这么简略。那终究黑客是用了什么东西在扫描,想干什么。可是在服务器上一顿查找后,没有发现任何东西。小Z想,或许是被删去了吧,所以easyrecovery对体系进行删去康复。确实找到了许多可疑的文件

口令扫描器

一堆暗码抓取东西

口令字典

内存暗码和存储的各种凭证抓取脚本

从这一大堆东西来剖析,黑客仅仅暴力破解和暗码盗取,没有看到勒索软件等其他的进犯倾向。所以小Z告诉体系办理员进行了一系列的整理和加固作业。

五、回到现场

时刻回到3月14号早晨,小Z所以放下书包,开端了百度,查找和这个tiger相关的全部信息,试了好几个解密东西成果仍是不可,当然后来了解到解密是简直不或许的。

多少主机中毒了?会横向分散吗?

因为主机都安装了zabbix,所以显现zabbix毛病状况的即为中毒主机,底子承认了感染规模。

在一台服务器上,搭档发现了tiger.EXE的可履行文件,上传云沙箱行为剖析,加密文件行为,没有横向网络行为。

经过某几台服务器的中招作业和监控渠道流量查询看,中毒后服务器会与一个公网ip 216.105.38.11的443端口通讯。(从后期和黑客的邮金科信运送办理体系件交流,他们知道内部多少台主机中招,这个应该是个信令)

疑问点:

1.为什么中毒主机的杀软打不开了,是病毒把杀软干掉了吗?

2.之前修改了暗码的主机没有中招,可是中招的服务器中有暗码很杂乱的(没在黑客字典里,也简直不或许破解),为什么?

3.内网的进犯线路是怎样的?

1.为什么中毒主机的杀软打不开了,是病毒把杀软干掉了吗?

2.之前修改了暗码的主机没有中招,可是中招的服务器中有暗码很杂乱的(没在黑客字典里,也简直不或许破解),为什么?

3.内网的进犯线路是怎样的?

疑问1.

经过对杀软日志剖析,最早的杀软日志,其实能够把tiger的病毒体查杀的 那为柯南凶恶什么中毒主机的杀软打不开了?这个是个对立的问题

图为 最早的杀软记载,显现病毒被杀的记载

持续检查单台服务器上杀软的具体日志,发现如下日志,日志的脱敏信息:2019/3/14 1:09:24*运转的 PCHUNTER64.EXE 企图拜访 。其实了解这个东西的人知道,一旦运用体系办理员权限运转pchunter,那么pchunter和杀软就直接在0环对立。所以,这个基梦中的婚礼钢琴谱,陈瑶,电动车-哥哥新闻,大哥哥的眼光复原作业的本相本能够解说疑问点1.

疑问2.

中招直接和王思维凤凰博客暗码有联系,这是小Z前期的一向判别,所以他以为把暗码改了就能解决问题。可是一个搭档的服务器说是很杂乱的暗码,底子不或许破解的,后来又听说是加域的。查询服务器的登录日志,发现清晨都有子公司B的域办理员登录的记载。所以这几台中招的底子不是破解进来的,直接域办理员登录。疑问2解开。

疑问3.

进犯线路:暴力破解子公司A对公网的服务器-扫描内网相通的子网-获取子公司B域控办理权限-进犯小Z地点公司C的加域服务器(子公司B和公司C共用域控)

七、跋文

黑客进犯方式不完全总结:3月4号左右,内网子公司A的一台服务器对外网做了IP映射做运维,被黑客的3389暴力破解扫描器攻陷成为跳板机,黑客运用许多暗码获取东西的一起暴力破解内网一切相通网段服务器,再次运用这些攻破的主机作为跳板暴力破解,梦中的婚礼钢琴谱,陈瑶,电动车-哥哥新闻,大哥哥的眼光复原作业的本相进犯新的网段,扩展内网规模,底子上是一种网状分散。因为子公司B的域控办理员暗码比较简略,在攻破子公司B的域控服务器后,运用高权限账户,登陆一切其他加域的服务器,这儿面包含和子公司B共用域控的公司C苏椒5号。在搜集了许多凭证后,在3月13号晚开端会集登陆这些主机,履行勒索病毒,一开端都被杀软干掉,发现有杀软的,运用pchunter完毕杀软,履行病毒。

前期,因为小Z经过渠道发张女珍现的被暴力破解进来的服务器,因为及时修改了暗码,免于病毒,但整个作业经验仍是许多:

1霍雨浩h.备份,备份,备份。重要的作业说三边,许多服务器因为有备份,快速康复了,但也有没有备份的;

2.网络的分区别域,做好网络的权限整理和根据端口的拜访战略,让进犯约束在部分;

3.集权体系的权限办理,特别是域控,邮件体系,内部的运维监控体系等,这些体系往往是一破百破;

4.主机的拜访操控,运用堡垒机等;

5.日志渠道的报警功用,许多进犯往往发作在非作业时刻,所以有用的报警机制很船尸疑案重要;

6.退出主机后主动整理保存在hungdaddy本地的各种凭证,除了服务器便是运维人员的终端,都需求要点防卫;

7最初求种像条狗.勒索软件或许作为痕迹整理东西,反溯源。

1.备份,备份,备份。重要的作业说三边,许多服务器因为有备份,快速康复了,但也有没有备份的;

2.网络的分区别域,做好网络的权限整理和梦中的婚礼钢琴谱,陈瑶,电动车-哥哥新闻,大哥哥的眼光复原作业的本相根据端口的拜访战略,让进犯约束在部分;

3.集权体系的权限办理,特别是域控,邮件体系,内部的运维监控体系等,这些体系往往是一破百破rdt163;

4.主机的拜访操控,运用堡垒机等;

5.日志渠道的报警功用,许多进犯往往发作在非作业时刻,所以有用的报警机制很重要;

6.退出主机后主动整理保存在本地的各种凭证,除了服务器便是运维人员的终端,都需求要点防卫;

7.勒索软件或许作为痕迹整理东西,反溯源。

*本文原创作者:fish1983,本文归于FreeBuf原创奖赏方案,未经许可制止转载

文章版权及转载声明:

作者:admin本文地址:http://www.geogianews.com/articles/3038.html发布于 2个月前 ( 09-02 08:39 )
文章转载或复制请以超链接形式并注明出处哥哥新闻,大哥哥的眼光还原事情的真相