今天臨近下班,突然接到客戶電話�����,說他一個(gè)朋友公司服務(wù)器被勒索了���,讓我們幫忙看一下����。技術(shù)人員遠(yuǎn)程連接到該服務(wù)器,這是一個(gè)很有代表性的情況:1����、服務(wù)器上沒有安裝任何的殺毒軟件���。2�����、使用的暢X通T+財(cái)務(wù)軟件。3�、使用財(cái)務(wù)軟件自帶的備份功能將數(shù)據(jù)庫進(jìn)行了備份��,但備份文件在本硬盤的不同分區(qū)。4���、客戶的數(shù)據(jù)庫密碼就以明文方式存儲(chǔ)在桌面上。技術(shù)人員將日志導(dǎo)了出來��,進(jìn)行分析����。通過分析找到了攻擊源和攻擊路徑���,黑客利用暢X通的漏洞�����,對(duì)系統(tǒng)進(jìn)行注入攻擊�,從遠(yuǎn)程下載惡意程序后實(shí)施加密操作���。注:以上幾個(gè)圖片是用AI分析的結(jié)果�。根據(jù)分析結(jié)果,技術(shù)人員在服務(wù)器上找到了黑客留下的惡意程序��。將該惡意程序上傳到卡巴斯基情報(bào)平臺(tái)�����,通過后臺(tái)歸因引擎和沙箱分析�,得知該病毒屬于MALLOX家族�����,平臺(tái)給出了該惡意程序的詳細(xì)報(bào)告���,包括哈希值 ���、執(zhí)行時(shí)的具體動(dòng)作�����,如修改的注冊(cè)表��、釋放的文件等�����,以及各動(dòng)作對(duì)應(yīng)在ATT&CK模型中所處的環(huán)節(jié)���。惡意程序進(jìn)入主機(jī)后執(zhí)行的各種動(dòng)作該惡意程序攻擊對(duì)象與ATT&CK模型的映射關(guān)系1����、網(wǎng)絡(luò)隔離��,暫時(shí)將該主機(jī)從網(wǎng)絡(luò)中隔離出來����,在防火墻上限制黑客使用的幾個(gè)IP地址的訪問權(quán)限�����。
?2�����、日志深度排查:檢查是否有成功返回200狀態(tài)的攻擊請(qǐng)求(如日志中部分請(qǐng)求返回200)。搜索服務(wù)器進(jìn)程、計(jì)劃任務(wù)中是否存在異常項(xiàng)(如sqlps��、wscript.shell相關(guān)進(jìn)程)3���、將分析出的惡意程序的IOC指標(biāo)�,在內(nèi)網(wǎng)進(jìn)行威脅狩獵,查找還有沒有其他的失陷主機(jī)。4、修復(fù)漏洞。聯(lián)系財(cái)務(wù)軟件廠商,升級(jí)至最新版本,修補(bǔ)已知漏洞�����。對(duì)KeyInfoList.aspx和keyEdit.aspx接口實(shí)施嚴(yán)格的輸入過濾���,禁止特殊字符(如;�、exec)����。5、部署專業(yè)防病毒和EDR產(chǎn)品��,可以有效阻止病毒攻擊�,并能在需要的時(shí)候進(jìn)行事件溯源和損害評(píng)估。6���、備份數(shù)一定不能放在本機(jī)。要遵循32110原則���,將備份數(shù)據(jù)放在不同的存儲(chǔ)位置。7����、部署WAF(Web應(yīng)用防火墻)��,攔截SQL注入和命令注入攻擊。
閱讀原文:原文鏈接
該文章在 2025/5/27 16:19:42 編輯過
400 186 1886
