歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

一起雙網卡服務器被黑‌引發的勒索事件

來源:本站整理 作者:佚名 時間:2019-07-03 TAG: 我要投稿

事件溯源
在六月一個風和日麗的早上,深信服安全團隊接到了客戶緊急反饋,數據庫突然連接不上,業務中斷,懷疑遭到了黑客攻擊。介入排查后發現,數據庫啟動失敗的原因是數據庫組件丟失,系統找不到指定的文件。

排查服務器目錄,驚奇地發現了一個敏感的文件,!!!READ_ME_FIRST!!!.txt,通過文件名稱來看,很有可能是一個勒索信息文件,因此推測該數據庫服務器遭到了勒索:

打開該txt文件,通過文件信息得知,系統的文件都已被加密了,需要聯系黑客購買密鑰進行解密,好,不就是幾個比特幣的事嗎,我們…才不買呢。客戶本想直接恢復鏡像還原數據庫,但在安全團隊的建議下保留了環境進行溯源工作,找出病毒入侵的原因進行加固,避免再次遭勒索。

文件被加密后的后綴為.crypto,根據被加密文件的修改時間,可以得知勒索病毒運行的時間大致為6月13號的6點54。

搜索創建時間為6點54左右的exe文件,篩選出了幾個疑似勒索相關的文件。

這些文件最后都確認是病毒文件,其中偽裝成pdf的crypto-encryptor.exe是勒索病毒,Jave.exe.crypto是一個已被加密的木馬病毒,但在其他目錄找到了它的克隆體TrustedInstaller.exe,病毒文件后續進行分析。

勒索攻擊途徑一般是黑客通過RDP入侵后人工投毒的,通過篩選6月13號的RDP日志,發現了一個6點48分的可疑RDP連接記錄,連接源IP是192.168.0.218,這是個內網地址,初步懷疑黑客是先入侵了該主機,然后以該主機為跳板攻擊數據庫服務器的。

接下來排查192.168.0.218,它確實登陸過217主機,而且還是以Administrator賬號登陸的,看來黑客已經獲取到了該賬號的密碼,進行攻擊當然是輕而易舉了。

經過排查確認,該Web服務器有內外網雙網卡,由于疏忽,防火墻沒有配置外網IP的防護,導致該服務器被黑客入侵了,攻擊細節由于客戶隱私這里不做透露。那么至此,就可以得知此次勒索事件的來龍去脈了,黑客首先通過外網入侵雙網卡的Web服務器,從Web服務器中獲取到了數據庫服務器的IP,然后以Web服務器為跳板,登陸內網的數據庫服務器,最后對數據庫服務器進行勒索,因此建議客戶立即對Web服務器進行了全盤殺毒,以及進行安全加固,防止再次被入侵。
通過此次事件,可以總結出兩點經驗:
1.被勒索后不要馬上對主機進行解密或還原,應當通過溯源確認下勒索攻擊的來源,對攻擊來源進行安全加固,避免再次被勒索。
2.雙網卡的主機由于連通了內外網,安全風險較高,一旦被黑客入侵了內網就危險了,所以要對其著重進行安全防護
病毒分析
勒索病毒和木馬病毒都是使用.NET編寫,后者是一個簡單的鍵盤監聽木馬,主要會進行自復制到system32目錄、創建定時任務、創建全局KEYBOARD鉤子監聽用戶擊鍵等操作。這個黑客真夠執著的,勒索完主機還要一直監聽著用戶的擊鍵信息。

勒索病毒看著像是Planetary的變種,代碼風格相似,運行后首先會創建注冊表實現開機自啟動。

在加密前設置加密黑名單,若遍歷到這些后綴的文件,則不進行加密。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺