本帖最后由 SANGFOR_HZ 于 2022-9-17 12:53 编辑
XXXX医院勒索病毒排查处置分析报告
一、事件背景 xxxx医院在2022/06/19日上午发现部分服务器存在异常,异常现象为服务器被勒索软件加密,文件后缀为“.360”。经排查发现中毒主机共9台。
二、排查分析过程 1、首先对勒索主机192.168.40.97进行排查分析,发现该主机文件开始被加密时间为6:30 排查该主机登录日志发现主机在1:33和6:26时被192.168.40.104登陆,跟加密操作时间吻合: 根据以上初步推断,攻击者由192.168.40.104作为跳板,使用3389远程桌面登录主机192.168.40.97,并进行勒索软件执行。
2、再对主机192.168.40.104进行排查分析,发现此主机文件被加密时间为6:47—8:51期间,如下图所示: 排查其登录日志,发现该主机在6/18 23:57、06/19 1:33、06/19 6:54被192.168.255.253使用RDP登录:
3、继续对主机192.168.255.253进行排查,发现该主机为互联网边界设备的内网口地址,在此设备上将192.168.40.104的3389端口映射到了出口IP的公网地址的3389:
4、对主机192.168.40.104的密码情况进行排查,使用mimikatz抓取本地密码信息,得到ntlm如下图所示:
5、使用解密工具对ntlm进行解密得到密码:Aa11。确定为弱密码。
6、再对其他主机进行排查,发现全部都是在凌晨1点到7点之间被192.168.40.104登录,并植入勒索病毒,情况跟192.168.40.97相似,不做赘述。
三、事件结论 根据以上排查分析得出总结,攻击者在6月19日1:33从公网通过3389映射,使用弱密码Aa11远程登录了192.168.40.104,利用192.168.40.104作为跳板先后使用弱密码Aa11登录其余机器,并对其进行了病毒植入。下图所示为攻击链路:
四、安全加固建议 针对当前客户网络,给出安全加固建议如下: 2、禁止rdp、ssh,远程高危服务端口映射到互联网,规避被互联网那个弱密码登录和爆破风险。 4、部署EDR等终端安全防护软件,及时对病毒文件进行拦截和查杀。 5、rdp、ssh等密码策略优化,使用8位以上数字、字母、特殊字符混合无规律组合,不同主机使用不同密码。 6、外网核心直连网关路由器没过防火墙,需要重新串接到防火墙下面,做好安全防护。 7、外网核心与内网核心之间通过锐捷AC无线控制器互连,网络相互打通,建议增加一台AC内外网互相隔离。 8、内网服务器区没有防护手段,建议部署数据中心防火墙,对内网服务器业务做防护。 9、金保网专线到医院内网没有做安全防护,建议过一遍防火墙,做好安全防护。
|