结论建议
结论:
- 感染的病毒为最新的 GANDCRAB V5.2,该版本目前尚无公开解密秘钥,在不支付赎金前提下, 无法对加密文件进行解密。
- 该主机在 2018 年 5 月至 7 月期间,感染过多个恶意程序,由于涉及域名均已失效,但均不具 备勒索病毒特征,与此次事件无关。
- 通过对系统日志
分析,排除了攻击者通过远程桌面(RDP)口令爆破植入病毒程序的可能性。1. 由于 WebLogic 存在多个安全漏洞
且暴露在互联网,导致被攻击者利用并植入了相关后门程序。1. 通过攻击特征及版本验证,确认攻击者使用了 2019 年 4 月 25 日公开的 WebLogic wls9_async_ respon
se 反序列化命令执行漏洞(CVE-2019-2725 )。建议: - 对于重要的加密感染文件,建议备份留存并等待秘钥公布,历史上 GANDCRAB病毒作者曾多 次公布解密秘钥。
- 通过黑白盒结合方式对 WEB应用做安全测试及后门排查,防止将有后门的应用再次部署上线。
- 加强对操作系统及 WEB日志的审计留存,如 WEB应用可通过反向代理方式对访问记录进行留 存。
- 及时更新安全防护设备规则,如 WAF、IPS 等,防止被网络上公开的 1day 漏洞攻击利用。
- 定期定时对重要业务数据进行备份,以便在事后及时对业务系统进行恢复。
挖矿木马病毒应急案例
- 背景介绍
某门户网站 Windows 服务器 CPU 使用率 100%,初步判断被植入了挖矿木马病毒。
处置过程
- 挖矿程序已被管理员清除,通过回收站恢复样本并明确文件创建时间。
图 5.23 文件创建时间 - 扫描网站目录 webshell 后门,分析 web 日志均未发现异常。
- 通过分析 SQL Server 日志,发现存在 sa 用户爆破痕迹,并且启用了 xp_cmdshell。
图 5.24 sa 用户爆破痕迹 - 分析系统应用程序日志,进一步确认 SQL Server存储过程(xp_cmdshell)被启用并执行系统命令。
图 5.25 xp_cmdshell 执行记录
挖矿程序分析:
通过对样本进行分析发现为 KingMiner 挖矿木马病毒。KingMiner 挖矿木马病毒利用 SQL Server 弱 口令爆破获取系统权限,进而植入挖矿木马。该木马采用白利用的方式挖取门罗币。病毒为保证挖矿流 程成功执行,在 XP以上系统中,还会执行备用流程,利用 powershell 内存加载的方式挖取门罗币,整 体的病毒流程:
图 5.26 KingMiner 双重挖矿模型
结论建议
结论: 1. 攻击者通过成功爆破系统 1433 端口 SQL Server 口令,利用存储过程 xp_cmdshell 执行系统命令,
运行挖矿程序。
建议:
- 对所有的 SQL Server 用户口令进行更改,增加口令复杂度。
- 修改策略只允许特定的 IP 从公网访问 1433 端口或者禁止 1433 端口在公网开放。
- 建议对系统远程桌面等重要口令进行更改。
- 关闭存储过程 xp_cmdshell,严格控制数据库的用户权限,尽量不要赋予 sa 权限
\ 关闭 xp_cmdshell - 将系统的安全补丁更新到最新。
- 建议禁止服务器上外网。
- 建议使用专业的安全软件对服务器进行防护。
网页篡改事件应急案例
- 背景介绍
2019 年 01 月从绿盟云监控告警得知,某客户网站页面被篡改。
图 5.27 绿盟云监控告警
处置过程
打开网站首页,查看源代码发现 HTML代码中被插入了恶意广告:
图 5.28 HTML 代码中插入恶意广告
web 日志分析:
查看告警时间段的 web 日志得知,云监控首次发现 /portal/article/index/id/3077/cid/4.html 页 面被篡改的时间为:12/Jan/2019:06:01:10,请求 user-agent 头:Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322):
图 5.29 web 日志
筛 选 最 后 一 次 监 控 到 /portal/article/index/id/3077/cid/4.html 页 面 正 常 的 时 间 为 12/ Jan/2019:04:43:43:
图 5.30 web 日志
提取 12/Jan/2019:04:43:43-06:01:10 之间的日志进行分析,发现只有 IP(119.*.*.50)于 05:30 分 左右对 /static/font-awesome/fonts/indax.php 文件进行了访问:
图 5.31 日志分析
访问 /static/font-awesome/fonts/indax.php 文件,发现该文件为 php 大马:
图 5.32 PHP 大马
由此可确定攻击者调用 /static/font-awesome/fonts/indax.php 大马实现网页篡改。 ① 确定 webshell(/static/font-awesome/fonts/indax.php)的上传路径 /static/font-awesome/fonts/indax.php 首次访问时间为:10/Jan/2019:23:18:35 的记录:
图 5.33 首次访问时间 进一步分析发现,攻击者调用 content.php 进行了一系列操作:
图 5.34 操作记录
通过检索 content.php 关键字,发现 content.php 是攻击者通过 ThinkPHP 远程命令执行进行上传的, 上传者 IP 与调用 content.php 上传 /static/font-awesome/fonts/indax.php 的 IP 相同,为 112.*.*.30 。
命令执行的主要内容为:
上述命令的意思是,读取网址 http://xia*.*.net/ma.asp 的内容写入到本地 content.php 中。
应急人员下载 http://xia*.*.net/ma.asp 后,通过搭建环境,结合 web 日志,复现攻击者调用 content.php 进行的操作。最终确认攻击者实际调用 content.php 进行了 9 步操作。
- 删除网站根目录下
- 删除网站根目录下
- 删除网站根目录下
- 进入 /static/ 目录
indax.php 文件 co.php 文件 class1.php 文件 - 进入 /static/images/ 目录
- 回到 /static/ 目录
- 进入 /static/Front-awesome/ 目录
- 进入 /static/Front-awesome/Fronts/ 目录
- 向 /static/Front-awesome/Fronts/ 目录传入文件(indax.php) 至此,可确定完整攻击路径如下:
- 2019 年 1 月 9 日 21 点 47 分 44 秒,攻击者(IP :112.*.*.30)通过 ThinkPHP 远程命令执行 漏洞上传文件名为 content.php 的 webshell。
- 2019 年 1 月 10 日 23 点 18 分 25 秒,攻击者通过 webshel(content.php)上传隐蔽性、免杀 能力更强大的木马后门 /static/font-awesome/fonts/indax.php。
- 2019 年 1 月 10 日 5 点 30 分到 32 分,攻击者通过 wehsehll(index.php)对 /portal/article/ index/id/3077/cid/4.html 页面进行了篡改,插入大量暗链。