記一次安全應急響應事件

安芯網盾發表於2020-10-15

接到這個安全應急響應任務是在夏末一個燥熱的日子裡,客戶是某省級政府部門,其主機作業系統是Windows,已經部署有某安全廠商的主機安全產品,在找到我們應急的時候,該安全廠商的安全產品已經被擊穿,無法清除感染的惡意程式碼檔案。


線索追查


和尋醫問診類似,首先需要對客戶的主機“症狀”進行判斷,該客戶的主機表現形式為:惡意程式碼程式會啟用多個程式佔用CPU資源,導致CPU使用率長期處於100%,影響正常業務的執行,且該惡意程式碼程式啟動的程式在被強制關閉後能夠自動重啟,無法被根除。

以上是整個事件的“症狀”。

由於客戶物理距離上的遙遠,這次應急響應任務不得不採用遠端協助的方式進行,具體方式為先遠端登入一臺客戶的跳板機,再透過該跳板機排查業務相關主機存在的問題。

根據經驗,首先檢查Windows的計劃任務,一下子就發現了問題,具體截圖如下:

記一次安全應急響應事件

記一次安全應急響應事件


映入眼簾就是這個blackball的計劃任務,這使我一下子就想起了某安全威脅情報中心的一篇文章《永恆之藍木馬下載器發起 “黑球”行動,新增SMBGhost漏洞檢測能力》,該文將此類攻擊事件命名為“黑球”行動。

攻擊方式為透過釣魚、爆破、漏洞利用等方式發起攻擊,攻擊成功後從C2地址下載攻擊模組,透過下載的攻擊模組發起永續性攻擊,繼續下載其他攻擊模組,透過漏洞利用、爆破、釣魚等方式傳播,將挖礦程式注入Powershell.exe執行,並且安裝沒有實際作用的計劃任務blackball。

經過調查,主機實際情況與情報有些微的差距,攻擊程式採用隨機名稱技術來隱藏自身,每次生成一個計劃任務和*.exe的檔案,透過執行*.exe,實現重複傳播和注入挖礦程式。一段時間後即能在主機中生成多個計劃任務、*.exe檔案和多個Powershell.exe程式,導致佔用CPU資源,使CPU使用率長期處於100%。截圖如下:

記一次安全應急響應事件

基於以上情報和分析,設計基本處理思路:

1、禁用程式建立後,結束被惡意程式碼注入的程式,刪除相關啟動項,計劃任務,刪除惡意程式碼檔案,刪除惡意程式碼建立的臨時檔案。

2、修改口令、安裝補丁修復MS17-010、CVE-2020-0796等漏洞,防止被永續性攻擊重新感染。

3、重新啟動業務持續,持續監測修復效果。


執行修復


第一步,使用安芯網盾系統資訊檢測工具-【PCHunter】(https://www.anxinsec.com/view/antirootkit/)禁止程式的建立,然後再使用PCHunter去結束惡意程式碼啟動的程式,包括cmd、Powershell、*.exe等,然後清理惡意程式碼建立的計劃任務、服務、啟動項,處理完畢之後取消PCHunter對建立程式的限制,截圖如下:

記一次安全應急響應事件

第二步,清理惡意程式碼建立的程式檔案,臨時檔案,這些檔案一般位於C:\Windows,C:\Windows\system32,C:\Windows\temp等位置,截圖如下:

記一次安全應急響應事件

記一次安全應急響應事件

記一次安全應急響應事件

第三步,安裝系統補丁,安裝系統補丁可能會導致相容性問題,因此需要先在測試環境測試過業務系統的相容性後再執行。全部執行完畢之後,讓業務系統正常執行,每隔一段時間檢查一遍,確認惡意程式碼成功清除並且不再被重新感染。

經歷了一天高強度的應急響應處置之後,惡意程式碼清除完畢,但在第二天的檢查中發現*.exe、cmd、Powershell等程式均重新開始執行並且佔用系統資源,經過一段時間的重新排查和分析,判斷WMI可能隱藏有惡意指令碼,對WMI進行檢查,果然發現惡意指令碼的蹤影,截圖如下:

記一次安全應急響應事件


事後感言


客戶核心伺服器感染病毒,外部攻擊利用永恆之黑漏洞進入,透過無檔案攻擊進行挖礦,伺服器效能被消耗,嚴重影響業務執行。雖然安裝了傳統防護軟體,但病毒依然成功執行。安芯網盾技術服務團隊透過系統資訊檢測工具(PCHunter)對病毒樣板進行了清除,幫助客戶解除了危機,但是免不了一場心驚膽戰。

業務伺服器如果被攻陷,其對應的業務系統受到的影響或者損失是無法估量的。當前的安全威脅不斷升級,業務伺服器面臨源源不斷的新的漏洞風險,記憶體保護系統可以在未打補丁的情況下進行有效防禦。​​​​

相關文章