国内某单位勒索病毒攻击事件处置实例.docx

《国内某单位勒索病毒攻击事件处置实例.docx》由会员分享，可在线阅读，更多相关《国内某单位勒索病毒攻击事件处置实例.docx（20页珍藏版）》请在课桌文档上搜索。

1、国内某单位勒索病毒攻击事件处置实例7月2日，国内某医疗单位HlS系统内多台关键服务器和操作终端业务数据被加密，疑似遭受勒索病毒攻击。HlS系统是为医院整体运行提供全面的自动化管理及各种服务的重要信息系统，一旦瘫痪将对医院造成较大的经济损失和负面社会影响。gSLfrf.id(86A25995-39.webweb321firemail.ccbekingH.id(86A259953OO9.MebWeb321firemail.cc.ekingJgfrf.id86A259953009l.webweb321firemail.ccbeking.frf.id(86A25995-3OO9.webweb3210f

2、iremail.ccJ.eldngrmf.id86A25995-3009|.webweb321firemail.ccJ.ekingiDfrf.id(86A25995-3009).(webweb321firemail.cc.eking5t.frf.id86A259953OO9.webweb321firemail.cc.eldngSS&.frf.id(86A25995-3009.webweb321firemail.ccj.ekingEBXK5,8ra.frf.id(86A25995-3009.webweb321firemail.ccj.eking谓双列报告单-.frf.id86A25995-300

3、9.webweb321firemail.ccl.ekingISS9Lfrf.id86A25995-3009.webweb321firemail.cc.ekingS1.frf.id86A25995-3OO9).webweb321firemail.cc.ekingISra5&2.frf.id86A25995-3009.webweb321firemail.cc.ekingIS吉电frfid186A25995,3009Mwebweb321remaiLccj.eking(S,frf.id86A25995-3009.webweb321(g)firemail.cc.eidngStfrf.id(86A2599

4、5-3009.(webweb321firemail.cc.eldngStfrf.id86A25995-3009).(webweb321firemail.cc.ekingrmf.id86A25995-3009.(webweb321(g)firemail.ccl.eking111rfid(86A25995-3009l.(webwh2ltffir三wi图1HlS系统服务器文件被加密威努特得知客户情况后，立即成立应急专家小组，第一时间到达客户现场开展该病毒事件的应急处置工作。现场事件处置现场与客户做深入的沟通之后，应急专家小组梳理出应急处置方案，总体处置流程及结果如下：1、现场情况梳理：快速梳理现场的

5、网络结构，客户网络内部署有防火墙、IPS和终端杀毒等防护措施，但是未能防御住勒索病毒的攻击！通过插入U盘测试，发现中毒的服务器依然在做持续加密动作。得出结论：病毒程序没有自我删除，很有可能会在内网中继续扩散。2、病毒样本分析：通过人工识别和判断在中毒服务器中提取出病毒样本，经过研究分析该病毒为Eking,属于Phobos勒索软件家族的变种病毒。Phobos是一个攻击性极强的勒索软件，在HTA勒索信息打开后（标志着Phobos加密结束），它会继续在后台运行，并继续对目标范围内的新文件进行加密。具体病毒行为分析如下：1）释放文件病毒执行后会在系统临时目录下创建3582-490目录及Fast,exe

6、文件:I:= ;二二一一:UW?.I:?;.;:一!:?:.二二?:;二2 :.1W:rxBx；m“irio4Tii口7，1vM91aitIftfarsiMllI；1MFX；，CrMtoTiU卜wvS*aMBtilRfvrw三v：，-卜sAt，：IZrtfU：stfkCrwWioct-:卜!.NatmTN,：，：“，*：;turn，”(:rf61aMM门”Ye*T*11cf*9MieferMtieofilt)二*5krcAtara)rta*XIw三tIffrflfl；卜aFSU,mtu“卜retfM*rt*lwl:MBC.FS11*I9C*4.C41TmC-；tM34CCF*0lC4iW3WW

7、Cfc，EF.9M1EMi-gC.*s.oa*Ma*cM54K.*mA5l，atC：“:Q.3CI84ISZa4tO/MtaUZ4WA.u2t0FftAtCTMWFaiteeC-IMXS;2Z4T9FmWBC.:*71*CVlm2tf三2;.11U411Crtwt：；9C3”EgimrwCrwir*Sriltr1Ce4owvielSMttotRKixSriXftidsCrMTlZcc9V43:43,.rC1IM0S*9tfl34FK0WSF3iDC0；src;-0VS*AteaSJ,spcillCVte*”，*：*】：C:ueeveS”，-x”4KC:*IC4WSF3；pCB，CYUMVBm，

8、Urat；：Ctlft4mS*AtMKAl：C*KV”，1)；F*rtflCttt40vtl*9ta;reM111C-*130VSSF-；TVC“3.C；y.m3.totErttAXIaCVl4，*!；”r，A”，、U*t4owSre三vvrrfM1；C:lt0WSF3。cmiMMe:.vtcQvsSrsUrrt9c0：；etlx4v9t5：“EXti：CVtv-9VtWtuWtMM44；CVUMI三3Mttefe4：Ca幺d；m:XCVieovt1tHmJWtMM411C：VU0WVH3*ta三t：；-S3GVCSyt三)tftMMCCtX40*BStaU*xtl三41：C,“1AOaxal

9、)汕-2FatC.MilJSlBMA-ITtM3M2MK3t_a：uiaMix:anxaCT4Aa_4:as”FtCFTTIZCVi4eSytL4ewZ,fls;pvwe431C-ltwlKMJ9IMT.；XCVlC4QWSTGaB3：29XT54UC3m03；M9f4：XC-Vw12B3C00030ouw:T.9：乙：”：7S)tax3.r42tXl115X*8tlvr*rf2if3Y三B31t.lrig9I厮0t二c1;尔RX；ITttWHT：WCtU19,)-SJCw”rR*;：，“：a-32X0330frxmc:2：R=%；9?：mCT3;4.；8.Jmzf=a:QiaI32:”，,O

10、0皿，Xt3ecrfs“UfCmrOO*bbi:.rxJMrtsBMSetitC9:xs工20ttaow，：letat:工Ufitiftt5.OOOCUO.0IflfolitC：M3S16TT：X23：0：*;11c:：，z“5X89,I3eFvsCsft33OO：3：3M,Pecu，二”二32：4二i：3。2Fg三C”*G444sU.3LJ*工；，?Usxa4a：790：:东88S.SU4kD.XOCOOOI90；：*rs02，X3I0m:U35T3tUtI.IA“；;Zfj”：X4433Cfault7ar3X：020a”rreUH3AWJX“3=gHM3f1.ehs;:；ge.c*c.jM

11、1日JM，工；”心,C&3“55300000000U3M：C434.nI皿4hcS;HZ9t3RR2320SsetACtac.rui:CGlC0XCCJ50J0TA3gr333l3；Ill】MlCX352：1，IO,*nloa30.MWSXl：0X二639.；m2r*4。3：M32IUU;IX1Btt1S20*“！：oMar45IlIOMDoct三nta：2X32：210”tHx：AXX2Z0rwx:2OWCO2II0JaMttX：0OOOCOPII0，dr0XC0;IS0v*.tF：Hf;YV：HX8：3E；4kb08W：IO3X：UCy；f：T3；-：8-3加O：6；4TibXUB.3a：

12、4c2：rS；V；，L3t*OOCC4：HFa.OOCOMCOOOOOMtwt3lMCOO：.r(.0oc0.OMXOHIXOI03-l：；2t;Ka;vroiau.x*xoc-c.rERTi*cjrdO-Sle*Be-OClOH4i74nBCnlatMrooooooooooooooco;rM0XOC0OOOWIW&40I,.r-：!:-4Y11.*；-：r780C3i2I0tvset3S：C：1SSet-4M.iX-Ja,!*.一)：，veel.;t!utA.：:i*-4o.o?hou51ett0Xar11IOPXUltMM3XJ23220，XEQ3X3”220St4:3H*8”45IiIO

13、SftAJIKtl工X49：X103；?U:n：3c340:3:XOC413*0VlM400019T2949It101s:xanZ0EiU0SiHJMKJA42：“3.300000000lMXC二XaOCOOO00un;，3MMa32.4.J4UFsip0M49”IFxiVid.2CUS-JX5.Emtn=cm。c：xxacogy:11in?：二3；42，J;IAfatJaaa：4satxeiat03OOCilO00图3Eking遍历磁盘示意图遍历目录（遍历除系统重要目录外的其它目录,优先遍历Users目录）3SF”EE5“一1了Fa*Eerr，-ulFai*/，3FTFmE，e”.“,STi

14、,，rr“rrE9xtt,“&*t、5rMtrcerta,9Z5一11E:H:.:，.1.,t.-t-5-t.t.t.Q*t.*R*.t.t2二：:二：r二二:”“!r”：二“：“”二”二“二“二”raalia,1,i,k八,6,(s7ossmlxixlbCiZliewtoCwwrIPrClTfty*TwfxsearbC4i，“，rCte7kVtfMvDiteetMf:mCrwteftle1mr*Cretw*iGWdFwLJ-43?LClMU:：rW:“Cj,3NIa*5fctorr1MySfMtcr30：rretrkeeyt*ect1*m*DwtkCleM!e)E2*1I4*5UMtM?1a

15、mEr卜wftOrMMt136“VMI，vMSte4Crkle*3F*c*lQuaiS；tVM1veDte*wrd:rWxlI4M4*S.aMtM1MAtfDkfetMf9fvDr*wrK-：,IZrMtaFiXeISws0Wlwtver兑三三三Ala、rOC3二a三二三.。.1尸。/.串岸E:】=:3二二二士工二；M;工:：:2:二？I二二二M二M比SEMUFmjj三j三j三jiM三三wj三三jh三三iii三三Biijrj三i二ItlLk图4Eking遍历目录示思图3）文件加密IUMMXs?4tIIlXX，I1FartyII：34MMrtc，】；：XXJheugSKMMIM4,FwtB：11

16、MM3MUFr*a11XHMM.r，s：:MF1rMtIIiMM9W1gSKMM,PM4S；itu,r1H4：4U4FFiX11XX,MM，”EwI-U.M,FllVWIIlMUZM。5Mt11MU*twFMtiiiXM-torrv*11XHXMMUEtO&ilM“82E:1UXUUC3t,Fl*rut.14I11UUlK,r4tutHMX9x;r1IlXMM,，Xlen7rrt.)XMW5irrX11.34230Hr&AVS&11Mnwii,FiV”itU3,ElrT*rx)tMnour,r“rMrM043,rtxI1；XXXgClrcx“，aj;】AratvoSHM13C,Fii：U4IK

17、MM4X*33:XWU，rIHXM443X,F41U4M4F4tI11Xn4Ctl,31；.X1，IOV3IKM1341i,F*4t14inMtu,r*iHX皿Xnrfm*i1I：*213H317,rt1；X,rt*Em;,ruvmn*XA-,fuxBMHXaaC,rIIlMR3；“lIHX；，2；mrFrX1；.M3MGEun:.1;，：trrt3TTM33乂3wefrw:9.二”n：t、at4f;；*3ajt*4：，.2.“-F.：Gw*，I；CrMtiFilv/u，RkRtnaUMn:.tc*nukTreatr.Xr*flur73皿33or三=9nICr6C*U、Q-stk!)r)K9、

18、rFGRtf：303U3S：9*,MtOtW42tloaXtMMiQcflUGM*r)：/b3”,4rr3,MBjUMev*2,eF4t.CiJlikrrra3J、xuIeUfermiiMFiltr*Jrt4l、*MtI，CitFdGg，N-：3】“kp；4；tl*Tnfw.1.J.：,:urr.,:?exItAAAaxSUlmtieJLX；.tr，m：”arw-x九krEfx：-3K3uahMTUd3SkfMtr.k11tffl；，ar*Stll“”:;?t-twS1,8vMl7rG二三二二M=三23;M二Mg=gM:3之:之:52:W;g=fMx22二CJUJju,jJJ,J,J-fJJJ

19、UJJJUU,j,JJ,JJJuJjJ-1j-4JJ-J，Juj，JJJrJJU.JJJ，jJJuu，JSs三三WBJJPPBRZCYBBBR!lep!fe8iBJ!JRR!?二泻二浑Tg瑞芦声T-涔二2二:七!(:.U晨二学二J:T第ll:E:，蓼七二KW二比二MM晨2晨:七=.:.工士IJ.!:T,Ii:ttttttvttvxtf-vtt*xtttttxtfvvtvtt-Vv二F“二”二二二二二3二二二二”U二二“二二二二二”“二二二”“二曹“：二Q二鲁“图5Eking加密又件示意图4）病毒驻留释放病毒母体文件文件:1:11U1M3MCIIl6U4i9HI.AXU33，X“Ii41U111

20、tc4M5OC*IIi-Msxm6VilVC5UX.UUUMO;t1Il：4M4lM1IXMX5;Mi13W4UI.A：9U&CM44U0i?t1：U4M9sb121H-3.IU：U84R63111UU4r：4UMtUM2KCI1KU997U63UXUIi03%9tIlU3力5”亍1IiM4X*4rIIIMUCSZSX.1XK.3C3；：IIlt63如；1114*2XX丁i-ii“TKGdM3J”IIlKfUW：，1Kt：HMXOF3MnX.C：U319”tisH4UtoertitU乂yKl4M4i$.：*33;iHSU443UISlK43*4UC:,ArMVMTMlMtBrrOto6.WtO

21、ta14m”,tMtAtMtUtAAt.anB4MnMt“L；&)；干一二.；工509.tf!ISl17W?：IHK3WM：nx.xxrr:r1AA“2MS”tSSHOMCCIIl143W:ii“m;sLX.XXMUM：1Il碑UMI?ttlMamI-H-K44X04丁12；x44xor1“U43.X4t:U4t3C3：44：fcl：t3：M44040：JG：.；*t4404.9IIlI*4434：XtUIa404CUI13X4454Wc.，“二Q1LUU33lIUKM3TT3:waeI21UH3amix.;.mmalIlHMlWfIItMFH二:rHMirwXI.XlU.M1MT三；;Uur

22、;:“U”;2“丈nLI二二二二二23;:“”X-Xuuuw第*UUWjyUU兄Wul;Wa1ZUM管、:;，一：u“MULK1:US：U”UUC9Mi-、IUserilt1MurUMtAf?GTC1*jF11MEmL)11Fll卜：3Mtee：i*卜rrirw1rG61r：TtrrFx；ImrUctaxyK-bCrFIekMe!rfor*51ux*0Uct32y-l卜Fl)MtrFBm7M911Bmk八”1卜KF山bCs51U”1AE*11EU1M!fiAlctAfQiaatlFXla卜te*rfw4vKrfale1mri4tf*wMFtlC2：“1XXMtFlUqwmIetrB*faFiI

23、a1X”lKE3卜：，“2；ISUQg卜*re卜/一：M363zr34ase-gm：3aF：:18eiM4fiuIm“n“，9n:上：V.t11u-wFH了；，,1一，：,ILF-.三三三三工i三s三三8三!三U三n3L二三二UXLW、.-:“三FEEJ4141-4A1IA4441112、1AatsaaBaeaftBAa:M:二二三三-:三三三三一二二.“laF*tta*l“tttts*”.,“a6Ft,.三三三三三三三三三三三三wwux三l三.z三比=j三:ii三rsc-:篇:皿gFE富:2M:H:kM:黑:J7RurturrJu:77.un.J，u,3g.ungJt3JJTtr,JuunS

24、:-工XkkkMK蓼黑尸二蜷c.cee-JeCcc-e.CccjtuCCUCfCCK一)W-CE.g3R1KFwtr3，d一)300EiMM-4KF34-48y348Prm*JuU”&J*H*EX%6MMt6feXm，*，7UCAA.VOe，Me”94FmiE3*W4：MnttllMV”87CFMt8312U4K，33.“IQ4G”川,MD7lK，M二二3二二73:McF:三心芯器装RVt3f933J3X3二二二二三二VT:SSSiI219-h3三zi三藻宵二iZr三三l7l九:t:r.irEtr:r:JtJL4lrxeGe=l匕“db-%ei91tz图6Eking释放病毒母体又件示意图注册表

25、修改exe关联路径（打开exe程序时会再次执行病毒文件）步注册表娟瑁器文件(B丽(E)F(V)收蔽（八）MfiZKH)EnUmBthMtPConnectOrS.Enum*ERcLuaEIevationHeIperERcLuaSupporLl,EventPublisher.EventPublisherEventsystem-EventCIassEventSystem-EventCIaS5.1,Eventsystem-EventPubIisherEventSystem.EventPublisher.l,EvetSystem.EventSubscriptionEVentSyStem.EventSub

26、scriptionHEVentSyStem.EventSystemMEventSystem-EventSystem.1“4evtevtxfile，eefileJfiDefaulticon；*shellLopencommand名称网(K认)afc:IsoIatedCommand数值名称国)(KU)数值数据W)翅REGJZREGSZGWin.%l:hndoyssvcostCgOiE3runesjrunasusershellexf11rf-HKEY.LOCAL.MACHINESOFTWAREClassesexefileshellopencommand图7Ekirlg注册表修改exe关联路径示意图3、

27、攻防对抗测试：将勒索病毒样本与威努特防勒索系统进行真实攻防对抗，勒索病毒样本运行后，防勒索系统的行为监测模块监测到有恶意程序在调用高危指令，同时病毒诱捕模块诱捕到该勒索病毒遍历行为，主机防勒索系统立即发出告警，对勒索病毒进行阻拦和隔离，有效的阻止了勒索病毒的运行。4、防止扩散动作：为避免病毒在内网中继续横向扩散，感染其它服务器和操作工作站，应急专家小组协助客户对重要服务器和工作站部署威努特主机防勒索系统，并开启相关防护措施。最终，仅用时4个小时，就完成了从采样、分析、防护等一系列应急处置工作，保障现场业务正常运行，不再继续遭受该勒索病毒的攻击威胁，威努特技术专家的专业技能能力得到了用户的一致好评。为什么防火墙、IPS和终端杀毒等防护措施无法有效防御？目前活跃在市面上的勒索攻击病毒种类繁多，而且每个家族的勒索病毒也处于不断地更新变异之中，极高频率的变种使得基于病毒特征库的传统杀毒软件在应对海量新型勒索病毒时，毫无用武之地。并且勒索攻击形式多样，主要有文件加密、数据窃取、系统加密和屏幕锁定等四种主要的形式，造成的后果严重，EDR产品响应阻断机制生效的前提是勒索病毒已经产生了异常行为，响应阻断的动作一旦滞后，将造成为时已晚、不可挽回的严重损失。此外，勒索攻击已显著具备APT攻击的特点，勒索攻击普遍采用漏洞利用、钓鱼邮