勒索病毒是一种严重的网络安全威胁,它会加密用户文件并索要赎金。这类恶意软件通常通过钓鱼邮件、漏洞利用或弱口令爆破等方式传播,对个人与企业数据安全构成极大挑战。本文将基于一个真实案例,详细介绍Windows系统下勒索病毒的排查、分析与处置全过程。
一、勒索病毒家族识别
在发现文件被加密后,首先需要根据勒索信或加密文件的后缀名,在专业的勒索病毒家族查询网站进行搜索,以确定病毒类型并寻找可能的解密工具。
常用勒索病毒查询网站:
360勒索病毒搜索引擎:https://lesuobingdu.360.cn/
腾讯哈勃勒索病毒专杀:https://guanjia.qq.com/pr/ls/
启明星辰勒索病毒查询:https://lesuo.venuseye.com.cn/
奇安信勒索病毒搜索引擎:https://lesuobingdu.qianxin.com/
在本案例中,通过查询确认攻击者使用的为Phobos勒索病毒家族。
二、攻击入侵溯源分析
确定病毒家族后,需立即进行攻击溯源,理清攻击路径与时间线。
1. 确定文件加密时间
检查任意被加密文件的修改时间,确定为11:34。这是攻击的终点时间,为后续排查提供关键锚点。
2. 排查系统安全日志
检查Windows安全日志(Event ID 4624登录成功、4625登录失败等),发现相关日志已被攻击者删除,这是攻击者干扰应急响应的常见手法。
3. 检查远程登录日志
当安全日志缺失时,可转向其他日志源。查看应用程序和服务日志 -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational。
该日志记录了远程桌面会话的创建与断开(Event ID 21, 22, 25等)。排查发现,在11:27存在成功的远程桌面登录记录,这极有可能是攻击入口。
4. 定位恶意文件
使用Everything等工具,搜索在2021/11/04当天创建的文件。
- 发现
C:\PerfLogs\目录下存在可疑文件,创建时间为11:31。
- 同时发现
C:\Windows\artifact.exe文件,创建时间为11:33。
5. 分析恶意文件
- 对
C:\PerfLogs\1.exe进行MD5校验:certutil -hashfile 1.exe MD5,并将哈希值提交至VT等威胁情报平台查询,确认其为勒索病毒本体。
- 在
C:\PerfLogs\目录下还发现了Process Hacker工具(创建于11:28),攻击者常利用此类工具结束安全软件进程。
- 对
C:\Windows\artifact.exe进行MD5校验并查询情报,确认其为Cobalt Strike木马,用于远程控制。
6. 排查持久化机制
使用Autoruns工具检查启动项、计划任务和服务,发现攻击者通过将1.exe(勒索病毒)放入以下启动目录实现持久化:
C:\Users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartupC:\Users\test\AppData\Local\C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\
攻击时间线梳理:
- 11:27 - 攻击者通过远程桌面(RDP)成功登录。
- 11:28 - 上传
Process Hacker工具,试图关闭安全软件。
- 11:31 - 上传勒索病毒本体
1.exe。
- 11:33 - 上传Cobalt Strike木马
artifact.exe,建立持久化远程控制。
- 11:34 - 执行勒索病毒,加密文件,并完成启动项植入。
三、应急处置与系统加固
根据溯源结果,立即进行处置,切断攻击链路并加固系统。
- 清除恶意组件:
- 使用
Autoruns删除相关的注册表启动项。
- 彻底删除已发现的恶意文件:
1.exe、artifact.exe、Process Hacker。
- 阻断攻击入口:
- 立即修改所有用户密码为高强度密码。
- 如非必要,在防火墙中关闭3389端口,或将其修改为非常用端口,并设置IP白名单策略,这是加固Windows系统安全的基础步骤。
- 后续建议:
- 在全网范围进行漏洞扫描,检查是否存在永恒之蓝等高危漏洞。
- 检查所有服务器的RDP、SSH等远程管理服务,是否存在弱口令。
- 部署终端安全检测与响应(EDR)系统,提升对类似威胁的发现和处置能力。
| 
发表于 6 天前
|
查看: 22|
回复: 0
