今天臨近下班���,突然接到客戶電話�����,說他一個朋友公司服務(wù)器被勒索了�����,讓我們幫忙看一下�。技術(shù)人員遠(yuǎn)程連接到該服務(wù)器��,這是一個很有代表性的情況:1��、服務(wù)器上沒有安裝任何的殺毒軟件���。2�����、使用的暢X通T+財務(wù)軟件��。3����、使用財務(wù)軟件自帶的備份功能將數(shù)據(jù)庫進(jìn)行了備份,但備份文件在本硬盤的不同分區(qū)�。4、客戶的數(shù)據(jù)庫密碼就以明文方式存儲在桌面上����。技術(shù)人員將日志導(dǎo)了出來,進(jìn)行分析�。通過分析找到了攻擊源和攻擊路徑,黑客利用暢X通的漏洞�����,對系統(tǒng)進(jìn)行注入攻擊���,從遠(yuǎn)程下載惡意程序后實施加密操作����。注:以上幾個圖片是用AI分析的結(jié)果��。根據(jù)分析結(jié)果�����,技術(shù)人員在服務(wù)器上找到了黑客留下的惡意程序��。將該惡意程序上傳到卡巴斯基情報平臺��,通過后臺歸因引擎和沙箱分析���,得知該病毒屬于MALLOX家族��,平臺給出了該惡意程序的詳細(xì)報告�,包括哈希值 ��、執(zhí)行時的具體動作���,如修改的注冊表����、釋放的文件等�,以及各動作對應(yīng)在ATT&CK模型中所處的環(huán)節(jié)。惡意程序進(jìn)入主機(jī)后執(zhí)行的各種動作該惡意程序攻擊對象與ATT&CK模型的映射關(guān)系1���、網(wǎng)絡(luò)隔離�,暫時將該主機(jī)從網(wǎng)絡(luò)中隔離出來�,在防火墻上限制黑客使用的幾個IP地址的訪問權(quán)限。
?
2��、日志深度排查:檢查是否有成功返回200狀態(tài)的攻擊請求(如日志中部分請求返回200)。搜索服務(wù)器進(jìn)程�、計劃任務(wù)中是否存在異常項(如sqlps、wscript.shell相關(guān)進(jìn)程)
3�、將分析出的惡意程序的IOC指標(biāo),在內(nèi)網(wǎng)進(jìn)行威脅狩獵�,查找還有沒有其他的失陷主機(jī)。4�、修復(fù)漏洞。聯(lián)系財務(wù)軟件廠商�����,升級至最新版本����,修補(bǔ)已知漏洞。對KeyInfoList.aspx和keyEdit.aspx接口實施嚴(yán)格的輸入過濾��,禁止特殊字符(如;�、exec)���。5��、部署專業(yè)防病毒和EDR產(chǎn)品��,可以有效阻止病毒攻擊�����,并能在需要的時候進(jìn)行事件溯源和損害評估�����。6��、備份數(shù)一定不能放在本機(jī)�����。要遵循32110原則��,將備份數(shù)據(jù)放在不同的存儲位置����。7、部署WAF(Web應(yīng)用防火墻)���,攔截SQL注入和命令注入攻擊���。
閱讀原文:原文鏈接
該文章在 2025/8/15 12:09:51 編輯過
400 186 1886
