©2016-2024 Matools All rights reserved,
粤ICP备17059708号
近期,公司生产环境某主机感染第四代Satan勒索病毒,再次给我们的网络安全防护工作敲响了警钟,现在就整个事件的前因后果进行一下简单的总结,也给其他的朋友提供一些借鉴的经验教训。
1、事件回顾
此次事件起因是部署的主机防病毒软件发出告警,在某主机上查杀了大量恶意文件:
遂登录问题主机进行查看,发现部分系统文件已经被加密,加密文件后缀是.dbger:
查看任务管理器,存在恶意进程:
同时查看网络连接情况,发现存在大量恶意连接记录(都是针对境外IP的,未针对局域网的主机,这也是此次事件未造成大范围主机感染的原因):
感染的病毒试图对境外IP列表的445端口发起勒索攻击:
出现上述问题后,紧急对问题主机存在的恶意文件进行处理,并对主机网络进行隔离。幸好主机上的应用还没有正式上线,并有相应的备份文件,及时发现并控制住了影响。通过恶意文件的名称基本确定感染的病毒为satan病毒,satan病毒早在2017年1月份就爆出来了,期间经过几次演进,病毒感染后的现象进行了一些改变,如加密后缀、病毒感染途径等等。
2、事件原因分析
在处理完病毒并控制住影响后,开始对此次satan病毒的感染原因进行分析,比较幸运的是,tomcat服务器下有个日志文件没有被加密(注:业界研究报告显示Satan勒索病毒主要用于针对服务器的数据库文件进行加密,但我们这次感染的主机tomcat日志文件也被加密了),打开没有加密的tomcat日志文件,发现了重要证据:
恶意攻击者(源IP:45.124.132.123,在此次事件10天后又发现此IP在恶意攻击我们另外一台服务器)在尝试9次失败的登录后,成功登录tomcat后台管理目录,并上传了恶意satan病毒文件包,文件上传时间与主机防病毒软件的查杀日志时间基本一致。
另外查看到几个恶意文件:
从文件内容可以看到在链接恶意的主机IP:124.217.216.42。
根据上述日志基本确认此次病毒就是通过tomcat后台默认口令的安全漏洞造成的攻击,再次给我们敲响警钟,如此低级错误的代价是多么的惨痛!!!。
根据感染时间和网上查到的一些资料,基本确认此次感染的satan病毒为演进的最新的第四代病毒,主机被感染时防病毒软件厂商的病毒库还未来得及更新,如下链接是网上找的一个文件路径(该链接现在已无法访问!!),更新时间就是在6月11号附近:
由此我们也看到了防病毒软件的某些瓶颈,在病毒库无法每天实时更新的情况下,某些恶意病毒真就可以利用这个时间差进行大范围传播与攻击。
在提取了部分样本进行逆向分析后,发现相关文件加了vm保护壳,想要从代码层面分析病毒的行为比较困难。
遇到此类文件被恶意加密的安全事件,我们只能通过异地备份文件来进行恢复。
记住,重要文件一定要异地备份,重要文件一定要异地备份,重要文件一定要异地备份!!(重要事情说三遍)
3、安全整改与加固
针对此次安全事件,总结我们的安全防护还是存在很多薄弱项,尤其是应用层的安全防护,作为基础的iaas云服务供应商,服务器在交付给客户后,应用层的安全更多的需要使用者来实施(例如应用安全测试加固、部署waf等),但我们还是要总结自身的问题,平台层需要加固及整改的还是要逐一落实:
1、再次确认网络出口防火墙以及主机防火墙的445、139、3389等高危端口是否关闭;
2、再次确认所有windows服务器主机是否已修复勒索病毒相关补丁;
3、针对所有的tomcat服务,检查并确认tomcat后台默认管理页面已被删除。
4、针对所有应用,检查并确认重要文件是否进行异地备份。
4、参考链接
http://www.freebuf.com/articles/system/175248.html
<http://www.freebuf.com/articles/system/175248.html>
https://bbs.pediy.com/thread-225693.htm
<https://bbs.pediy.com/thread-225693.htm>
热门工具 换一换