事宜溯源

在六月一个风和日丽的早上,深信服平安团队接到了客户紧要反馈,数据库突然毗邻不上,营业中止,嫌疑遭到了黑客攻击。介入排查后发现,数据库启动失败的缘故原由是数据库组件丢失,系统找不到指定的文件。

排查服务器目录,惊讶地发现了一个敏感的文件,!!!READ_ME_FIRST!!!.txt,通过文件名称来看,很有可能是一个勒索信息文件,因此推测该数据库服务器遭到了勒索:

打开该txt文件,通过文件信息得知,系统的文件都已被加密了,需要联系黑客购置密钥举行解密,好,不就是几个比特币的事吗,我们...才不买呢。客户本想直接恢复镜像还原数据库,但在平安团队的建议下保留了环境举行溯源事情,找出病毒入侵的缘故原由举行加固,制止再次遭勒索。

文件被加密后的后缀为.crypto,凭据被加密文件的修改时间,可以得知勒索病毒运行的时间大致为6月13号的6点54。

搜索建立时间为6点54左右的exe文件,筛选出了几个疑似勒索相关的文件。

这些文件最后都确认是病毒文件,其中伪装成pdf的crypto-encryptor.exe是勒索病毒,Jave.exe.crypto是一个已被加密的木马病毒,但在其他目录找到了它的克隆体TrustedInstaller.exe,病毒文件后续举行剖析。

勒索攻击途径一样平常是黑客通过RDP入侵后人工投毒的,通过筛选6月13号的RDP日志,发现了一个6点48分的可疑RDP毗邻纪录,毗邻源IP是192.168.0.218,这是个内网地址,开端嫌疑黑客是先入侵了该主机,然后以该主机为跳板攻击数据库服务器的。

接下来排查192.168.0.218,它确实上岸过217主机,而且还是以Administrator账号上岸的,看来黑客已经获取到了该账号的密码,举行攻击当然是易如反掌了。

经由排查确认,该Web服务器有内外网双网卡,由于疏忽,防火墙没有设置外网IP的防护,导致该服务器被黑客入侵了,攻击细节由于客户隐私这里不做透露。那么至此,就可以得知此次勒索事宜的前因后果了,黑客首先通过外网入侵双网卡的Web服务器,从Web服务器中获取到了数据库服务器的IP,然后以Web服务器为跳板,上岸内网的数据库服务器,最后对数据库服务器举行勒索,因此建议客户立即对Web服务器举行了通盘杀毒,以及举行平安加固,防止再次被入侵。

通过此次事宜,可以总结出两点履历:

1.被勒索后不要马上对主机举行解密或还原,应当通过溯源确认下勒索攻击的泉源,对攻击泉源举行平安加固,制止再次被勒索。

2.双网卡的主机由于连通了内外网,平安风险较高,一旦被黑客入侵了内网就危险了,以是要对其着重举行平安防护。

病毒剖析

勒索病毒和木马病毒都是使用.NET编写,后者是一个简朴的键盘监听木马,主要会举行自复制到system32目录、建立准时义务、建立全局KEYBOARD钩子监听用户击键等操作。这个黑客真够执着的,勒索完主机还要一直监听着用户的击键信息。

勒索病毒看着像是Planetary的变种,代码气概相似,运行后首先会建立注册表实现开机自启动。

在加密前设置加密黑名单,若遍历到这些后缀的文件,则不举行加密。

设置加密模式为AES.CBC。

,

欧博亚洲APP下载ALLbet6.com

欢迎进入欧博亚洲APP下载(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe *** 、Allbet电脑客户端、Allbet手机版下载等业务。

,

更先加密文件。

释放一个bat用来病毒自删除。

IOC:

AE16CA83F603A6C292B23B7777D1990F

E72FFC49EBDD44DADBD0FD85D5BC797D

解决方案


病毒检测查杀

1、深信服EDR产物、下一代防火墙及平安感知平台等平安产物均具备病毒检测能力,部署相关产物用户可举行病毒检测,如图所示:

2、深信服为宽大用户免费提供查杀工具,可下载如下工具,举行检测查杀。

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒防御

1、实时给电脑打补丁,修复破绽。

2、对主要的数据文件定期举行非内陆备份。

3、不要点击泉源不明的邮件附件,不从不明网站下载软件。

4、只管关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,制止使用统一的密码,由于统一的密码会导致一台被攻破,多台遭殃。

6、若是营业上无需使用RDP的,建议关闭RDP。当泛起此类事宜时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功效对3389等端口举行封堵,防止扩散!

7、深信服防火墙、终端检测响应平台(EDR)均有防爆破功效,防火墙开启此功效并启用11080051、11080027、11080016规则,EDR开启防爆破功效可举行防御。

8、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以到达更好的防御效果。

9、使用深信服平安产物,接入平安云脑,使用云查服务可以即时检测防御新威胁。

最后,建议企业对全网举行一次平安检查和杀毒扫描,增强防护事情。

青岛新闻网生活在线声明:该文看法仅代表作者自己,与青岛新闻网生活在线无关。转载请注明:电银付app安装教程(dianyinzhifu.com):一起双网卡服务器被黑‌引发的勒索事宜
发布评论

分享到:

usdt交易平台(www.caibao.it):中国人保总资产达1.3万亿元 服务经济社会质效提升
2 条回复
  1. 币游
    币游
    (2021-01-21 00:04:07) 1#

    usdt跑分网菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。能赞一万次吗

    1. 电银付APP安装教程
      电银付APP安装教程
      (2021-01-29 07:07:35)     

      呼伦贝尔新闻网呼伦贝尔新闻网专注报道您身边的新闻,本站关心政治、经济、生态、民生等众多领域的内容,您可以查找到任何您感兴趣的资讯类别,获取最新动向,站内新闻主要立足本地,内容也辐射全国,各种大事要事均可在本站订阅,获得追踪报道。火了踢我一脚

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。