一、现场
话说3.14号早上,小Z像平常一样来到公司,发现一帮同事在一台电脑前围观,不过各个表情诧异的样子,他也好奇的凑过去看看有啥新奇的,电脑里除了系统文件,无一例外被加了Tiger4444的后缀。中勒索病毒了。小Z心里咯噔一下,明明之前做了很多的防守动作,为什么还是中招了?
二、监控平台
这里先卖个关子,先看下小Z搭建的安全监控平台。日志平台,原理很简单,各种日志收集起来后,进行分析,并作实时可视化展示。日志源包括IPS,蜜罐,杀软的日志等。主界面如图:
小Z还设计了一个一键IP调查的模块,简要说明:输入IP就可以查到服务器的在线状态,名称和责任人(或者终端的使用人),服务器开放了哪些端口,有哪些NAT映射,服务器的漏洞信息,历史上对外网访问了哪些IP,这些IP是否为新出现的IP,最近哪些主机访问或者试图访问这台服务器,服务器的中病毒情况,是否存在对内网扫描的行为,如果有,什么时间扫描了哪些IP,事件在多个日志源中的时序便于发现日志之间的关联。终端可以根据ip或者mac,工号等查询人员的基本信息,还专门监控信标行为得到趋势和频率,有问题的IP可以结合开源威胁情报查询对外大的信标IP是否为恶意地址。
三、缘起
接下来重点关注蜜罐扫描的端口分布这个图。时间回到3月4号早晨,小Z来到公司,打开监控平台,对实时和历史的图像对安全事件进行分析,突然发现蜜罐扫描的端口分布那个图,破天荒的出现了对3389端口的扫描迹象,事出反常必有妖邪,于是小Z点开的3389,解读3389背后的日志。
点开3389后 如下图:
最初是3月4号8点零8分左右,有个内网IP 10.*.*.41对蜜罐进行了扫描,准确的说是扫描被蜜罐捕捉到了。随即小Z问了网络组这个IP的归属,原来是子公司的一台主机(由于业务需求,各个子网通过环网相通)。之前介绍平台时提到过一键IP调查,那就一键试试,于是输入IP:
看来的确是在扫描内网3389端口,小Z也是想了一下,继续盯着。(其实是扫描加破解,平台还有欠完善的地方)
在接下来的几天,通过监控平台,陆续发现有新的服务器IP出现对内网3389端口的扫描,其中居然有域控的服务器也在扫描。情况紧急,于是小z告诉运维组这事,运维小哥也觉得奇怪,没在域控上做这个操作啊,于是登录域控排查,居然发现被安装了anydesk等远控软件,于是小Z和运维一起对发生扫描的服务器进行检查和清理,确认系统干净后,改系统密码成强口令。据说之前有几台的密码是passw0rd。
四、攻防
小Z于是决定对主机10.*.*.41进行调查,于是小Z问了子公司系统管理员10.*.*.41的密码,结果为123456,登陆主机调查。
初步判断这台服务器是因为弱口令进来的。
发现黑客扫描工具Kportscan3.exe ,mimikatz.exe
被安装了anydesk远控软件
取证过程中发现主机10.*.*.52登陆过主机,沟通管理员要登录权限进一步确认10.*.*.52的问题,从操作记录看,180.76.146.89从3月5号23点41开始(可能恢复的日志来看)
10.*.*.52上的软件运行记录,基本判断这是黑客入侵的入口。
其实从log记录可以看出,服务器当时对公网开放了3389端口,用一个非administrator账户做远程运维,但是administrator密码过于简单,暴露在公网,导致暴力破解后被黑。
查明原因后,小Z通知系统管理员进行了一系列的清理和加固工作。
中毒前一天
监控平台又发现了,新的攻击主机10.*.*.10,小Z尝试性的用123456登录了该服务器,密码居然又这么简单。那究竟黑客是用了什么工具在扫描,想干什么。但是在服务器上一顿搜索后,没有发现任何工具。小Z想,可能是被删除了吧,于是easyrecovery对系统进行删除恢复。的确找到了很多可疑的文件
口令扫描器
一堆密码捞取工具
口令字典
内存密码和存储的各种凭证捞取脚本
从这一大堆工具来分析,黑客只是暴力破解和密码窃取,没有看到勒索软件等其他的攻击倾向。于是小Z通知系统管理员进行了一系列的清理和加固工作。
五、回到现场
时间回到3月14号早晨,小Z于是放下书包,开始了百度,搜索和这个tiger相关的一切信息,试了好几个解密工具结果还是不行,当然后来了解到解密是几乎不可能的。
多少主机中毒了?会横向扩散吗?
由于主机都安装了zabbix,所以显示zabbix故障状态的即为中毒主机,基本确认了感染范围。
在一台服务器上,同事发现了tiger.EXE的可执行文件,上传云沙箱行为分析,加密文件行为,没有横向网络行为。
通过某几台服务器的中招事件和监控平台流量调查看,中毒后服务器会与一个公网ip 216.105.38.11的443端口通信。(从后期和黑客的邮件沟通,他们知道内部多少台主机中招,这个应该是个信令)
疑问点:
1.为什么中毒主机的杀软打不开了,是病毒把杀软干掉了吗?
2.之前修改了密码的主机没有中招,但是中招的服务器中有密码很复杂的(没在黑客字典里,也几乎不可能破解),为什么?
3.内网的攻击线路是怎样的?
六、释疑
疑问1.
通过对杀软日志分析,最早的杀软日志,其实能够把tiger的病毒体查杀,那为什么中毒主机的杀软打不开了?这个是个矛盾的问题
图为 最早的杀软记录,显示病毒被杀的记录
继续查看单台服务器上杀软的详细日志,发现如下日志,日志的脱敏信息:2019/3/14 1:09:24*运行的 PCHUNTER64.EXE 试图访问 。其实熟悉这个工具的人知道,一旦使用系统管理员权限运行pchunter,那么pchunter和杀软就直接在0环对抗。所以,这个基本可以解释疑问点1.
疑问2.
中招直接和密码有关系,这是小Z前期的一直判断,所以他认为把密码改了就能解决问题。但是一个同事的服务器说是很复杂的密码,根本不可能破解的,后来又听说是加域的。查询服务器的登录日志,发现凌晨都有子公司B的域管理员登录的记录。所以这几台中招的根本不是破解进来的,直接域管理员登录。疑问2解开。
疑问3.
攻击线路:暴力破解子公司A对公网的服务器-扫描内网相通的子网-获取子公司B域控管理权限-攻击小Z所在公司C的加域服务器(子公司B和公司C共用域控)
七、后记
黑客攻击方式不完全总结:3月4号左右,内网子公司A的一台服务器对外网做了IP映射做运维,被黑客的3389暴力破解扫描器攻陷成为跳板机,黑客使用大量密码获取工具的同时暴力破解内网所有相通网段服务器,再次利用这些攻破的主机作为跳板暴力破解,攻击新的网段,扩大内网范围,基本上是一种网状扩散。由于子公司B的域控管理员密码比较简单,在攻破子公司B的域控服务器后,利用高权限账户,登陆所有其他加域的服务器,这里面包括和子公司B共用域控的公司C。在收集了大量凭证后,在3月13号晚开始集中登陆这些主机,执行勒索病毒,一开始都被杀软干掉,发现有杀软的,使用pchunter结束杀软,执行病毒。
前期,由于小Z通过平台发现的被暴力破解进来的服务器,由于及时修改了密码,免于病毒,但整个事件教训还是很多:
1.备份,备份,备份。重要的事情说三边,很多服务器由于有备份,快速恢复了,但也有没有备份的;
2.网络的分区分域,做好网络的权限梳理和基于端口的访问策略,让攻击限制在局部;
3.集权系统的权限管理,特别是域控,邮件系统,内部的运维监控系统等,这些系统往往是一破百破;
4.主机的访问控制,使用堡垒机等;
5.日志平台的报警功能,很多攻击往往发生在非工作时间,所以有效的报警机制很重要;
6.退出主机后自动清理保存在本地的各种凭据,除了服务器就是运维人员的终端,都需要重点防守;
7.勒索软件可能作为痕迹清理工具,反溯源。
*本文原创作者:fish1983,本文属于FreeBuf原创奖励计划,未经许可禁止转载