freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

勒索病毒溯源之基于二叉树结构的溯源思路
2020-11-25 16:23:28

前言

最近一直在想思考一个问题——关于勒索病毒事件的溯源(由于勒索病毒的传播方式较多,因此这里我仅针对人工投毒问题进行分析),假设全网大面积中了勒索病毒,我们应该如何确认完整的攻击链路。

通常情况下会考虑到勒索病毒的传染性,因此会考虑通过查看文件加密时间来对比,确认终端或服务器感染病毒的先后顺序,最新感染的即最新被攻破,这里我认为并非如此,应视情况而定。

这里我说明一下本次的关键思想——基于二叉树结构的溯源思路,二叉树结构形状像一棵倒置的树,顶端是树根,树根以下带分支,每个分支还可再带子分支。

1606291744_5fbe11206b79f1381c617.png!small?1606291743061

【二叉树结构图】

背景

最近遇到一客户,大片的服务器中了勒索病毒,不同网段间存在服务器中勒索病毒,不同机房也同样存在勒索病毒。在这样的前提下,客户要求找到勒索病毒的入侵点。

这种情况下如果要着手对这些设备进行分析,可能无法着手,因为无法理清每个设备间的感染关系,借此我们需要了解攻击者的思路。

攻击者思路把控

正常情况下,我们需要了解攻击者的攻击思路,如红蓝对抗一样,攻击者和红队思路一样,但两者结果导向相差甚远,红队主要拿系统权限,而攻击者的目的是对系统文件进行加密。红队突破边界后,通常会对内网进行漫游,找到突破口,攻击方式如同二叉树结构一样,像一棵倒置的树,顶端是树根,树根以下带分支,每个分支还可再带子分支。攻击者的攻击思路也是如此,如突破A设备后,以A设备为跳板,对B设备攻击,以此循环,直到达到目的,完成最终勒索。攻击者思路如【F->C->D->B】,见二叉树结构图。

勒索事件分析思路

通过对攻击者思路进行把控后,我们了解到攻击者思路后,则需找到破局之法。由于设备已中勒索,因此该设备便在攻击链路上,因此我们只需要找到一台设备进行分析,根据被勒索设备上保存的数据进行倒推攻击者攻击路线,即可完成攻击点入口的排查。排查思路如:【D->C->F】,见二叉树结构图。

案例分析

本次案例中,勒索病毒为buran勒索病毒,详细排查过程如下。

10.20.200.192设备日志分析

由于发现10.20.200.192在8月31日晚上23点左右存在大量3389端口登录,怀疑该设备存在异常,因此远程登录该设备对该设备进行分析。

登录10.20.200.192设备,发现该设备已中勒索病毒。

勒索病毒确认

通过对勒索信息和加密后缀进行分析,确认该勒索病毒为buran勒索病毒:

  • 勒索病毒提示信息:

1606291392_5fbe0fc0307f476c31e21.png!small?1606291390894

  • 勒索病毒后缀为1A8-749-854

1606291447_5fbe0ff72b083fb38702d.png!small?1606291445842


Windows登录日志查看

通过对登录日志进行分析发现IP:10.20.201.93在勒索时间前登录该设备:

1606291461_5fbe100532bd84f862005.png!small?1606291459974

  • 20.201.93于2020/9/5 3:38:45登录10.20.200.192设备:

1606291472_5fbe1010

# 应急响应 # 勒索病毒
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录