应急响应笔记
一 、说明
可以独立处置 “勒索病毒”、“挖矿木马”类安全事件, 提取病毒样
本完成溯源分析工作;
二、 安全事件排查流程
2.1、勒索病毒处置流程
2.1.1、了解现状
了解目前什么情况:
. 文件被加密?
. 设备无法正常启动?
. 勒索信息展示?
. 桌面有新的文本文件并记录加密信息及解密联系方式?
如果确认有以上某种症状处理方式 ➜➜➜【马上隔离】
(1) 确认是否可断网[拔网线]?, 要么马上做网络隔离, 防止感染其它主机!
(2) 未开机的机器➜➜➜【拔网线】 ➜【排查加固】➜【接入网络】
(3) 转向[临时处置办法]
2.1.2、了解发病时间
. 文件加密时间?
. 设备无法正常启动的时间?
. 新的文本文件的出现时间?
了解事件发生时间,后面以此时间点做排查重点;
2.1.3、了解系统架构[服务器类型、网络拓扑等]
| 系统名称 |
IP 地址 |
端口开放 |
物理机/虚拟机 |
主机名 |
设备型号 |
操作系统类型 |
| BIDW(数据库)节点 01 |
10.2xx.xx.xx |
80、22 |
物理机 |
Bnnnn |
IBM P595 |
AIX |
| 操作系统版本 |
管理后台 IP 地址 |
中间件类型 |
中间件版本 |
数据库类型 |
数据库版本 |
应用 URL |
| AIX 5.3 |
10.xx.xxx.79 |
was |
6.1.0.47 |
oracle |
V11g |
gmcc.net |
| 应用端口 |
储存设备类型 |
储存设备型号 |
web 框架 |
中间件版本 |
第三方组件 |
|
| 80 |
磁带库 |
3584/L52 |
struts |
2.4 |
编辑器 |
这里了解的信息要尽量详细, 为下一步分析收集足够证据;
2.1.4、确认感染者
通过上面的定位,确认中招主机:
| 操作系统版本 |
管理后台 IP 地址 |
中间件类型 |
中间件版本 |
数据库类型 |
数据库版本 |
应用 URL |
| AIX 5.3 |
10.xx.xxx.79 |
was |
6.1.0.47 |
oracle |
V11g |
gmcc.net |
| 应用端口 |
储存设备类型 |
储存设备型号 |
web 框架 |
中间件版本 |
第三方组件 |
|
| 80 |
磁带库 |
3584/L52 |
struts |
2.4 |
编辑器 |
确认感染文件特征及感染时间:
(1) 操作系统桌面是否有新的文本文件,文本文件中是否有详细的加密信息
及解密联系方式;
(2) 被加密的文件类型:
| .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .d |
| if, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, |
| .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, . |
| vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .m |
| peg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .ti |
| f, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, |
| .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, . |
| wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pp |
| s, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb , .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .doc |
| m, .docb, .docx, .doc |
(3) 加密后的文件后缀:
| .WNCRYT ,.lock ,.pre_alpha ,.aes ,.aes_ni ,.xdata ,.aes_ni_0day, .pr0tect ,.[stopstorage@q |
| q.com].java,文件后缀无变化; |
(4) 确认感染时间,对被感染文件操作:
| Linux系统 |
| 执行命令 stat[空格]文件名, 包括三个时间 access time(访问时间)、modify time(内容修改时间)、 |
| change time (属性改变时间),如: 例: stat /etc/passwd |
| Windows系统 例: 右键查看文件属性,查看文件时间 |
2.1.5、临时处置办法
被感染主机
(1) 立即对被感染主机进行隔离处置, 禁用所有有线及无线网卡或直接拔掉
网线,防止病毒感染其他主机;
(2) 禁止在被感染主机上使用 U 盘、移动硬盘等可执行摆渡攻击的设备;
未被感染主机
(1) 关闭 SSH 、 RDP 等协议,并且更改主机密码;
(2) 备份系统重要数据、且文件备份应与主机隔离;
(3) 禁止接入 U 盘、移动硬盘等可执行摆渡攻击的设备;