結(jié)論建議

結(jié)論：

1. 感染的病毒為最新的 GANDCRAB V5.2，該版本目前尚無公開解密秘鑰邑跪，在不支付贖金前提下粉铐， 無法對(duì)加密文件進(jìn)行解密。
2. 該主機(jī)在 2018 年 5 月至 7 月期間溺拱，感染過多個(gè)惡意程序逃贝，由于涉及域名均已失效谣辞，但均不具 備勒索病毒特征，與此次事件無關(guān)沐扳。
3. 通過對(duì)系統(tǒng)日志
   分析泥从，排除了攻擊者通過遠(yuǎn)程桌面（RDP）口令爆破植入病毒程序的可能性。1. 由于 WebLogic 存在多個(gè)安全漏洞
   且暴露在互聯(lián)網(wǎng)沪摄，導(dǎo)致被攻擊者利用并植入了相關(guān)后門程序躯嫉。1. 通過攻擊特征及版本驗(yàn)證，確認(rèn)攻擊者使用了 2019 年 4 月 25 日公開的 WebLogic wls9_async_ respon
   se 反序列化命令執(zhí)行漏洞（CVE-2019-2725 ）杨拐。建議：
4. 對(duì)于重要的加密感染文件祈餐，建議備份留存并等待秘鑰公布，歷史上 GANDCRAB病毒作者曾多 次公布解密秘鑰哄陶。
5. 通過黑白盒結(jié)合方式對(duì) WEB應(yīng)用做安全測(cè)試及后門排查帆阳，防止將有后門的應(yīng)用再次部署上線。
6. 加強(qiáng)對(duì)操作系統(tǒng)及 WEB日志的審計(jì)留存屋吨，如 WEB應(yīng)用可通過反向代理方式對(duì)訪問記錄進(jìn)行留 存蜒谤。
7. 及時(shí)更新安全防護(hù)設(shè)備規(guī)則，如 WAF至扰、IPS 等鳍徽，防止被網(wǎng)絡(luò)上公開的 1day 漏洞攻擊利用。
8. 定期定時(shí)對(duì)重要業(yè)務(wù)數(shù)據(jù)進(jìn)行備份渊胸，以便在事后及時(shí)對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行恢復(fù)旬盯。

挖礦木馬病毒應(yīng)急案例

1. 背景介紹
   某門戶網(wǎng)站 Windows 服務(wù)器 CPU 使用率 100%，初步判斷被植入了挖礦木馬病毒翎猛。

處置過程

1. 挖礦程序已被管理員清除胖翰，通過回收站恢復(fù)樣本并明確文件創(chuàng)建時(shí)間。
   圖 5.23 文件創(chuàng)建時(shí)間
2. 掃描網(wǎng)站目錄 webshell 后門切厘，分析 web 日志均未發(fā)現(xiàn)異常萨咳。
3. 通過分析 SQL Server 日志，發(fā)現(xiàn)存在 sa 用戶爆破痕跡疫稿，并且啟用了 xp_cmdshell培他。
   圖 5.24 sa 用戶爆破痕跡
4. 分析系統(tǒng)應(yīng)用程序日志，進(jìn)一步確認(rèn) SQL Server存儲(chǔ)過程（xp_cmdshell）被啟用并執(zhí)行系統(tǒng)命令遗座。
   圖 5.25 xp_cmdshell 執(zhí)行記錄
   挖礦程序分析：
   通過對(duì)樣本進(jìn)行分析發(fā)現(xiàn)為 KingMiner 挖礦木馬病毒舀凛。KingMiner 挖礦木馬病毒利用 SQL Server 弱 口令爆破獲取系統(tǒng)權(quán)限，進(jìn)而植入挖礦木馬途蒋。該木馬采用白利用的方式挖取門羅幣猛遍。病毒為保證挖礦流 程成功執(zhí)行，在 XP以上系統(tǒng)中，還會(huì)執(zhí)行備用流程懊烤，利用 powershell 內(nèi)存加載的方式挖取門羅幣梯醒，整 體的病毒流程：
   圖 5.26 KingMiner 雙重挖礦模型

結(jié)論建議

結(jié)論： 1. 攻擊者通過成功爆破系統(tǒng) 1433 端口 SQL Server 口令，利用存儲(chǔ)過程 xp_cmdshell 執(zhí)行系統(tǒng)命令腌紧，
運(yùn)行挖礦程序茸习。
建議：

1. 對(duì)所有的 SQL Server 用戶口令進(jìn)行更改，增加口令復(fù)雜度壁肋。
2. 修改策略只允許特定的 IP 從公網(wǎng)訪問 1433 端口或者禁止 1433 端口在公網(wǎng)開放号胚。
3. 建議對(duì)系統(tǒng)遠(yuǎn)程桌面等重要口令進(jìn)行更改。
4. 關(guān)閉存儲(chǔ)過程 xp_cmdshell墩划，嚴(yán)格控制數(shù)據(jù)庫(kù)的用戶權(quán)限涕刚，盡量不要賦予 sa 權(quán)限
   \ 關(guān)閉 xp_cmdshell
5. 將系統(tǒng)的安全補(bǔ)丁更新到最新。
6. 建議禁止服務(wù)器上外網(wǎng)乙帮。
7. 建議使用專業(yè)的安全軟件對(duì)服務(wù)器進(jìn)行防護(hù)杜漠。

網(wǎng)頁(yè)篡改事件應(yīng)急案例

1. 背景介紹
   2019 年 01 月從綠盟云監(jiān)控告警得知，某客戶網(wǎng)站頁(yè)面被篡改察净。
   圖 5.27 綠盟云監(jiān)控告警

處置過程

打開網(wǎng)站首頁(yè)驾茴，查看源代碼發(fā)現(xiàn) HTML代碼中被插入了惡意廣告：
圖 5.28 HTML 代碼中插入惡意廣告
web 日志分析：
查看告警時(shí)間段的 web 日志得知，云監(jiān)控首次發(fā)現(xiàn) /portal/article/index/id/3077/cid/4.html 頁(yè) 面被篡改的時(shí)間為：12/Jan/2019:06:01:10氢卡，請(qǐng)求 user-agent 頭：Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)：
圖 5.29 web 日志
篩 選 最 后 一 次 監(jiān) 控 到 /portal/article/index/id/3077/cid/4.html 頁(yè) 面 正 常 的 時(shí) 間 為 12/ Jan/2019:04:43:43：
圖 5.30 web 日志
提取 12/Jan/2019:04:43:43-06:01:10 之間的日志進(jìn)行分析锈至，發(fā)現(xiàn)只有 IP（119.*.*.50）于 05:30 分 左右對(duì) /static/font-awesome/fonts/indax.php 文件進(jìn)行了訪問：
圖 5.31 日志分析
訪問 /static/font-awesome/fonts/indax.php 文件，發(fā)現(xiàn)該文件為 php 大馬：
圖 5.32 PHP 大馬
由此可確定攻擊者調(diào)用 /static/font-awesome/fonts/indax.php 大馬實(shí)現(xiàn)網(wǎng)頁(yè)篡改译秦。 ① 確定 webshell（/static/font-awesome/fonts/indax.php）的上傳路徑 /static/font-awesome/fonts/indax.php 首次訪問時(shí)間為：10/Jan/2019:23:18:35 的記錄：
圖 5.33 首次訪問時(shí)間 進(jìn)一步分析發(fā)現(xiàn)峡捡，攻擊者調(diào)用 content.php 進(jìn)行了一系列操作：
圖 5.34 操作記錄
通過檢索 content.php 關(guān)鍵字，發(fā)現(xiàn) content.php 是攻擊者通過 ThinkPHP 遠(yuǎn)程命令執(zhí)行進(jìn)行上傳的筑悴， 上傳者 IP 與調(diào)用 content.php 上傳 /static/font-awesome/fonts/indax.php 的 IP 相同们拙，為 112.*.*.30 。
命令執(zhí)行的主要內(nèi)容為：
上述命令的意思是阁吝，讀取網(wǎng)址 http://xia*.*.net/ma.asp 的內(nèi)容寫入到本地 content.php 中砚婆。
應(yīng)急人員下載 http://xia*.*.net/ma.asp 后，通過搭建環(huán)境突勇，結(jié)合 web 日志装盯，復(fù)現(xiàn)攻擊者調(diào)用 content.php 進(jìn)行的操作。最終確認(rèn)攻擊者實(shí)際調(diào)用 content.php 進(jìn)行了 9 步操作甲馋。

1. 刪除網(wǎng)站根目錄下
2. 刪除網(wǎng)站根目錄下
3. 刪除網(wǎng)站根目錄下
4. 進(jìn)入 /static/ 目錄
   indax.php 文件 co.php 文件 class1.php 文件
5. 進(jìn)入 /static/images/ 目錄
6. 回到 /static/ 目錄
7. 進(jìn)入 /static/Front-awesome/ 目錄
8. 進(jìn)入 /static/Front-awesome/Fronts/ 目錄
9. 向 /static/Front-awesome/Fronts/ 目錄傳入文件（indax.php） 至此埂奈，可確定完整攻擊路徑如下：
10. 2019 年 1 月 9 日 21 點(diǎn) 47 分 44 秒，攻擊者（IP ：112.*.*.30）通過 ThinkPHP 遠(yuǎn)程命令執(zhí)行 漏洞上傳文件名為 content.php 的 webshell定躏。
11. 2019 年 1 月 10 日 23 點(diǎn) 18 分 25 秒挥转，攻擊者通過 webshel（content.php）上傳隱蔽性海蔽、免殺 能力更強(qiáng)大的木馬后門 /static/font-awesome/fonts/indax.php共屈。
12. 2019 年 1 月 10 日 5 點(diǎn) 30 分到 32 分绑谣，攻擊者通過 wehsehll（index.php）對(duì) /portal/article/ index/id/3077/cid/4.html 頁(yè)面進(jìn)行了篡改，插入大量暗鏈拗引。

參考資料

綠盟 2019年安全事件響應(yīng)觀察報(bào)告

友情鏈接

GB-T 38674-2020 信息安全技術(shù) 應(yīng)用軟件安全編程指南