你知道我是怎么被勒索软件攻击的吗?

你知道我是怎么被勒索软件攻击的吗?

几天前,我们的客户报告我们的 Solarwinds 网站瘫痪了。于是我连接远程桌面进行检查,结果发现它是一个全屏的 html 界面,只能使用鼠标通过界面按钮进行输入。

全屏 html 类界面

我们团队的首要行动是将集群与网络隔离,然后本地连接到现场的每个成员,查看是否所有成员都遭到劫持。令我们惊讶的是,4 个集群中的所有服务器都遭到了入侵。

我开始对我们的 Web 和 DB 服务器进行测试,而我的队友正在格式化集群中最不重要的成员,例如轮询服务器,它几乎不保存对操作至关重要的数据。

通过从 Fedora 实时 CD/USB 启动并访问 Windows 的文件系统(当然它没有像他们声称的那样加密),我能够从 DB 和 Web 服务器中恢复我们的所有数据,然后进入 System32 文件夹并找到他们的脚本,然后更改其主文件夹名称,以便它崩溃(我决定只更改名称,以便稍后尝试分析它并从中收集一些信息)。

我花了几个小时研究它,但大多数代码都被编译成了 .exe(他们还使用了一些 .bat 和 .ps1 脚本,所以那些我已经看过了)。我以纯文本形式打开了 .exe,发现它似乎是来自库的 Python 注释和一些其他文本(包括类似 html 的界面消息)我认为代码是用 Cython 编写的,然后编译了 cython 安装文件抛出的 .c 文件,但我不确定我是否正确,或者是否有可能的方法对其进行反编译并获取尽可能多的代码。

我不知道是否有可能的另一件事是看看他们是如何进入服务器的,比如使用哪种协议,我有一些他们在 Windows 任务计划程序中创建任务的日期,我还检查了事件查看器登录,但无法理解,因为有很多登录。我对 Windows 不是很熟练,我的编程技能是中等水平,也许你知道我可以在服务器中检查的其他东西,这些东西可以提供有价值的信息。如果你需要我附上包含黑客放入我们服务器的大部分内容的 .zip,请告诉我,因为我需要提供一些说明,以便你防止自己感染。顺便说一句,我们有 Windows Server 2016。

更新 1:首先,感谢你们的帮助和建议。我在一家组织非常混乱的公司工作,这些服务器甚至没有启用 Windows 防火墙。该公司没有任何保险、程序或政策来应对这种情况,可能是因为他们很幸运以前没有发生过这种情况。

组织结构图中的这些人狼吞虎咽,第一条指示就是不要说真正发生的事情,如果有人问起,回答要尽可能含糊。

当然,我老板的第一反应是告诉我们需要尽快恢复服务。所以当我在努力寻找并破解黑客在网络和数据库服务器中的勒索脚本时,两名工程师正在格式化前两台轮询服务器。当我找到解决方案时已经太晚了,两台服务器的数据已经丢失。我说服老板让网络服务器保持原样,这样我就可以检查所有可用的日志、代码和我能找到的任何其他东西。

现在我已经仔细检查了 Web 服务器中的所有日志(花了我 2 天时间)和可读的脚本片段(非编译代码),我意识到我带回家的那台服务器并不是黑客的入口点,我只能看到之前被入侵的集群其他成员的会话,所以我无法确定黑客最初是如何进入服务器的,也无法确定哪台服务器首先被入侵。我能够假设他通过某种文件传输协议获得了访问权限,因为我后来发现黑客手动安装了 PsExec 应用程序。

另外,我没有想到要复制一份然后格式化,下次我会记住这一点以保留所有证据。

答案1

您违反了处理安全/系统漏洞的基本规则:保留证据

通过重新格式化服务器和恢复数据,您可能已经破坏或至少严重阻碍了您确定发生了什么以及如何发生的能力。不仅如此,如果您计划向保险公司提交索赔,以弥补任何损失,那么您可能也会危及这一点。此外,如果您计划通知执法部门,那么您已经严重阻碍了他们进行调查的能力。

如果这种情况再次发生,我给你以下建议:

  1. 断开网络连接。

  2. 断开所有系统与内部网络的连接。

  3. 联系您的商业保险公司,说明情况并寻求他们的指导。如果他们是一家大型保险公司,他们可能会有特定的协议和步骤需要您遵循,如果您幸运的话,他们会有专门的团队来帮助您处理此事。

  4. 按照保险公司告诉您的顺序,严格按照他们告诉您的方式去做所有事情。

  5. 不要采取超出保险公司或执法部门指示的任何行动。

答案2

Joe 说的很有道理,但我还想知道为什么需要启动到 Linux USB 驱动器,上次我们的一个客户(一家医疗机构)遭受勒索软件攻击时,我们可以在不到 30 分钟的时间内克隆受影响的卷进行取证分析并从快照中恢复。

制定一个好的备份和快照计划(它们不一样!)和一个好的快速恢复计划,当您可以在 30 分钟内恢复并让某人查看您是如何被感染的以防止它时,勒索软件就变得毫无用处。

至于您的问题,有很多反编译器,但老实说,这似乎只是一个基本的启动脚本,试图吓唬人们付钱。

编辑:我无法在下面添加回复,因为我在网站上的声誉没有 50(多年来我一直是潜水员)。但我想回答 OP 的后续问题:

我们正在讨论部署服务器的不同方式。基本上是老套的“宠物与水壶”争论,听起来可能很粗糙,但在我看来,如果服务器本地驱动器出现任何问题,导致数据不可用/数据丢失,则部署是有缺陷的。

有几十种不同的技术可以解决这个问题,但我知道在小公司很难推动生产服务器更能抵御攻击甚至硬件故障。如果说有什么好处的话,那就是它可以用于推动使用 fc/iscsi 和适当的备份/syncrep 等进行适当的存储!

答案3

有能力的勒索软件不会立即破坏主机操作系统。保持主机正常运行可以显示赎金屏幕,同时继续窃取或加密有价值的数据。

识别初始访问需要进行非常广泛的搜索,尤其是因为攻击者可能在系统之间横向移动。谁登录了这些主机,他们是否运行了来源可疑的软件?如何验证软件更新的真实性?存在哪些已知漏洞尚未修补?请参阅 MITREATT&CK 初始访问得到一个大概的想法。

扫描恶意软件以了解其可能是什么。病毒总数涵盖许多检测引擎,并且共享 VT 结果的链接更安全。

全面取证调查、对恶意软件进行逆向工程以及安装允许列表等缓解措施都是相关项目。聘请安全人员研究您的环境并提供具体建议。

相关内容