工具介绍
FireKylin – 收集操作系统各项痕迹
LogParser - 日志分析工具
主机异常
在被勒索后的主机,通常存在三种特征
文件后缀异常,文件颜色全部为白色,使用记事本打开全部为乱码
使用快捷键 win + e 打开文件管理器
桌面提示勒索信,桌面背景被更改英文背景。
业务系统无法访问
检测阶段
使用FireKylin agent里的win 客户端 复制对应的文件到勒索主机上收集信息
收集后 生成系统需要的日志文件 打开gui程序 导入数据
点击操作 加载数据文件 fkld后缀
此工具可以把相关的信息提取并展示,无需使用繁琐的cmd命令去查找。
抑制阶段
断网,拔掉相关网线;
禁止U盘 移动硬盘插入;
关闭3389 445 139等高危端口;
更改账户密码。
溯源阶段
用户排查
在用户功能里,获取了最后登录的时间,需和管理人员确定 是人为正常登录还是非正常。(这是的时间是上传勒索文件的异常登录)
点击guest 用户 查看是否被启用
日志排查
登录时间为非正常,转到系统日志排查 日志类型选择安全
查找登录记录 发现大量的登陆错误 一秒钟很多次 不可能是人为操作
然后依次排查 进程,启动项,服务,网络,计划任务。
进程排查
在进程中,发现了病毒样本 以及所在位置
左侧是文件名称,后面是 病毒文件所在路径,下面是病毒释放的一些dll文件
启动项排查:
启动项无异常,(在实际业务中,启动项可能较多,需要结合业务进行判断)
服务排查:
服务无异常 (不同的病毒 有不同的攻击方式)
计划任务排查:
无异常 (可忽略)
详细日志分析(参考工具和相关命令)
导出勒索主机的 安全日志
将LogParser安装目录添加至环境变量
LogParser.exe -i:EVT –o:DATAGRID "SELECT recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4624"
提取登录成功的用户名和IP:
LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4624"
登录失败的所有事件:
LogParser.exe -i:EVT –o:DATAGRID "SELECT recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4625"
提取登录失败用户名进行聚合统计:
LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM .\Security1.evtx where EventID=4625 GROUP BY Message"
根除阶段
上面可知,勒索病毒,通过爆破登录到服务器,然后投毒,并在system32文件下 释放了一些dll文件
1. 修改系统密码,禁止弱口令
2. 任务列表杀掉勒索程序 ,删除相关dll文件
(根据实际情况,进行操作,如 删除计划任务,启动项,恶意服务等)
观察文件加密的后缀,复制后缀,或者上传加密的文件到解密网站参考附件内容
若能解密,则下载对应的解密程序,不能解密需要恢复快照或者恢复备份数据。
预防处置
定期修改密码
及时更新补丁
定期进行数据备份
关闭高危端口 如139 445 3389