应急响应|勒索病毒逼逼赖赖，安服仔重拳出击

免责声明：

0x01 勒索病毒概述

勒索软件是一种来自密码病毒学的恶意软件，会感染您的计算机并显示勒索消息，要求您付费才能使系统再次运行,若不支付赎金，它会威胁发布受害者的数据或永久阻止对其的访问。早期勒索软件攻击通常使用伪装成合法文件的特洛伊木马来进行，诱使用户以电子邮件附件的形式下载或打开该木马。当下比较常见的方式为暴力破解、漏洞利用的方式进行人工投毒。

0x02 常见的勒索病毒

CrySiSPhobosGlobeImposterSodinokibiWannaCry

0x03 勒索事件描述

某一天客户发现尝试使用远程桌面协议登录，发现账号密码错误，并且业务程序无法正常运行，上机查看服务器后发现已感染勒索病毒。

0x04 应急过程

4.1 上机查看

查看服务器桌面：确认服务器中勒索病毒

4.2 查看服务器加密后的文件

全局搜索加密后缀，确定加密文件的时间，以及确定最早被入侵的服务器。下图服务器为已知的最早感染的服务器以及加密后的文件：

4.3日志分析

4.3.1查看被入侵的服务器的安全日志

发现xx点开始有大量的RDP爆破登录失败日志，判断该服务器开放了3389端口，并且被被暴力破解。登录失败事件ID为4625

4.3.2 黑客RDP爆破成功

黑客爆破RDP服务成功，事件ID:4624.如下图所示：

4.3.3.查看服务器安全日志判断密码修改时间

业务人员尝试使用远程桌面协议登录，发现账号密码错误，怀疑系统的账号密码已被修改。分析日志发现xxx时间段，试图重置账户密码成功，判断为黑客修改。

补充:常用事件ID

0x05 勒索事件总结

总结：

服务器主机日志显示大量RDP爆破登录失败事件，确认是开发人员为方便网站调试，将内网服务器的远程桌面服务（3389端口）转发到公网，并使用弱口令。这导致黑客成功暴力破解并在服务器上部署了勒索病毒，产生了严重的安全风险。

存在的风险：

1. 弱口令使用：开发人员在远程桌面服务上使用了弱口令，容易被黑客利用暴力破解攻击。

2. 远程桌面服务公网暴露：将远程桌面服务端口转发到公网增加了攻击面，使得黑客能够直接访问该服务，提高了安全威胁。

3. 缺乏入侵检测与防护： 未部署有效的入侵检测系统或防护机制，导致无法及时发现和阻止异常登录行为。

安全建议：

1. 强化口令策略：确保所有远程桌面服务的口令均为强密码，包含字母、数字和特殊字符，并定期更换密码。

2. 限制公网访问：将远程桌面服务限制在内网使用，避免直接将其暴露在公网。可以考虑使用VPN等安全手段进行远程访问。

3. 启用多因素认证（MFA）：在远程桌面服务上启用多因素认证，提高身份验证的安全性，即使口令被破解，仍需额外验证。

4. 加强监控与日志分析：部署入侵检测系统，实时监控登录事件，及时发现异常行为。定期审查和分析日志，追踪潜在的安全威胁。

5. 定期漏洞扫描与更新：定期对系统进行漏洞扫描，及时修补安全漏洞。确保操作系统、应用程序和安全软件都是最新版本。

6. 培训与意识提升：对所有相关人员进行安全培训，提高他们的网络安全意识，避免类似安全风险再次发生。

0x06 勒索病毒处置流程

0x07 应急响应手册下载

关注公众号Sec探索者后台回复：应急响应手册，获取下载链接。