实战|记某公司应急响应过程

Delina

原文链接：实战|记某公司应急响应过程
​
1 应急响应事件结论

中招主机被植入的勒索病毒为 Devos 勒索病毒，暂时没有密钥进行解密。资源服务器被入 侵的时间为 2021 年 9 月 19 号凌晨 2:49:37。造成被入侵的原因是该主机被通过 RDP 爆破成功并 于 2:56:06 植入勒索病毒。经过检测该主机还存在严重系统漏洞补丁未打——永恒之蓝漏洞。
2 应急现场概述

2.1 网络拓扑信息
无
2.2 攻击现场环境
操作系统：Windows 主机 IP：192.168.200.166 主要用途：学习网站 现象表现：被加密的文件名后缀为 Devos
已有的防护措施：改主机前端有国外某厂商的防火墙（早已失去维护）
2.3 事件处置结果
此次勒索病毒为 Phobos 家族重点 Devos，
目前已完成母体的清除和注册表的删除。但因为确实 日志且没有全流量审计安全设备未溯源到主机。
3 事件排查过程
3.1 异常现象确认
服务器被植入勒索病毒，文件被加密，加密文件的后缀为 Devos，根据勒索信息和加密后缀 判断该勒索病毒为勒索病毒 Devos，该病毒暂时没有密钥无法对加密的文件进行解密。该主机未 及时更新系统化补丁，导致存在严重系统漏洞如永恒之蓝漏洞
溯源分析过程：
查看加密文件的生成时间，判断主机被入侵的时间为 10 月 19 号凌晨 3:26:04 之前 ：

​

通过分析系统日志得出，造成被入侵的原因是该主机被爆破，于 19 日 00:27:13 开始爆破， 并在 2:11:59 时登录成功过一次：
爆破初始时间截图：

​

爆破成功，登录时间截图

​

通过日志分析，发现爆破者 ip 指向防火墙网关（192.168.100.254）：
​
经过筛选防火墙的日志，发现防火墙日志缺少 19 日凌晨的告警日志：
​
通过程序发现安装过 google 和 ProcessHacker 软件：
​
尝试通过 google 查看可疑的浏览记录，发现其已经被卸载：

​

尝试通过地址解析记录获取信息，发现 arp 信息表已经失效：

​

并且通过技术手段检测，该主机未及时更新系统化补丁，导致存在严重系统漏洞如永恒之 蓝漏洞。
3.2 事件应急处置
查看进程，并没有发现可疑进程：

​

通过查看启动项，发现可疑启动项 fast.exe

​

通过搜索 fast.exe 发现四个 fast 应用程序 ：

​

定位到该运行程序的目录位置时发现可疑程序 NS-v2.exe，查看该程序的生成时间，判断该 程序安装时间为 2:56:06 ：
将两个运行程序放进沙箱进行分析，确定 NS-v2.exe 为后门程序，fast.exe 为勒索程序。

​

​

通过分析注册表，找到 fast 运行此程序的注册键值：

​

并无发现可疑账号以及定时任务：

​

​