記一次安全應急響應事件

接到這個安全應急響應任務是在夏末一個燥熱的日子裡，客戶是某省級政府部門，其主機作業系統是Windows，已經部署有某安全廠商的主機安全產品，在找到我們應急的時候，該安全廠商的安全產品已經被擊穿，無法清除感染的惡意程式碼檔案。

線索追查

和尋醫問診類似，首先需要對客戶的主機“症狀”進行判斷，該客戶的主機表現形式為：惡意程式碼程式會啟用多個程式佔用CPU資源，導致CPU使用率長期處於100%，影響正常業務的執行，且該惡意程式碼程式啟動的程式在被強制關閉後能夠自動重啟，無法被根除。

以上是整個事件的“症狀”。

由於客戶物理距離上的遙遠，這次應急響應任務不得不採用遠端協助的方式進行，具體方式為先遠端登入一臺客戶的跳板機，再透過該跳板機排查業務相關主機存在的問題。

根據經驗，首先檢查Windows的計劃任務，一下子就發現了問題，具體截圖如下：

映入眼簾就是這個blackball的計劃任務，這使我一下子就想起了某安全威脅情報中心的一篇文章《永恆之藍木馬下載器發起 “黑球”行動，新增SMBGhost漏洞檢測能力》，該文將此類攻擊事件命名為“黑球”行動。

攻擊方式為透過釣魚、爆破、漏洞利用等方式發起攻擊，攻擊成功後從C2地址下載攻擊模組，透過下載的攻擊模組發起永續性攻擊，繼續下載其他攻擊模組，透過漏洞利用、爆破、釣魚等方式傳播，將挖礦程式注入Powershell.exe執行，並且安裝沒有實際作用的計劃任務blackball。

經過調查，主機實際情況與情報有些微的差距，攻擊程式採用隨機名稱技術來隱藏自身，每次生成一個計劃任務和*.exe的檔案，透過執行*.exe，實現重複傳播和注入挖礦程式。一段時間後即能在主機中生成多個計劃任務、*.exe檔案和多個Powershell.exe程式，導致佔用CPU資源，使CPU使用率長期處於100%。截圖如下：

基於以上情報和分析，設計基本處理思路：

1、禁用程式建立後，結束被惡意程式碼注入的程式，刪除相關啟動項，計劃任務，刪除惡意程式碼檔案，刪除惡意程式碼建立的臨時檔案。

2、修改口令、安裝補丁修復MS17-010、CVE-2020-0796等漏洞，防止被永續性攻擊重新感染。

3、重新啟動業務持續，持續監測修復效果。

執行修復

第一步，使用安芯網盾系統資訊檢測工具-【PCHunter】（https://www.anxinsec.com/view/antirootkit/）禁止程式的建立，然後再使用PCHunter去結束惡意程式碼啟動的程式，包括cmd、Powershell、*.exe等，然後清理惡意程式碼建立的計劃任務、服務、啟動項，處理完畢之後取消PCHunter對建立程式的限制，截圖如下：

​

第二步，清理惡意程式碼建立的程式檔案，臨時檔案，這些檔案一般位於C:\Windows，C:\Windows\system32，C:\Windows\temp等位置，截圖如下：

​

第三步，安裝系統補丁，安裝系統補丁可能會導致相容性問題，因此需要先在測試環境測試過業務系統的相容性後再執行。全部執行完畢之後，讓業務系統正常執行，每隔一段時間檢查一遍，確認惡意程式碼成功清除並且不再被重新感染。

經歷了一天高強度的應急響應處置之後，惡意程式碼清除完畢，但在第二天的檢查中發現*.exe、cmd、Powershell等程式均重新開始執行並且佔用系統資源，經過一段時間的重新排查和分析，判斷WMI可能隱藏有惡意指令碼，對WMI進行檢查，果然發現惡意指令碼的蹤影，截圖如下：

​

事後感言

客戶核心伺服器感染病毒，外部攻擊利用永恆之黑漏洞進入，透過無檔案攻擊進行挖礦，伺服器效能被消耗，嚴重影響業務執行。雖然安裝了傳統防護軟體，但病毒依然成功執行。安芯網盾技術服務團隊透過系統資訊檢測工具（PCHunter）對病毒樣板進行了清除，幫助客戶解除了危機，但是免不了一場心驚膽戰。

業務伺服器如果被攻陷，其對應的業務系統受到的影響或者損失是無法估量的。當前的安全威脅不斷升級，業務伺服器面臨源源不斷的新的漏洞風險，記憶體保護系統可以在未打補丁的情況下進行有效防禦。​​​​