简述对GhostPetya勒索病毒的一次应急响应

释放双眼,带上耳机,听听看~!

在这个星期二的上午,我旁边的一位表哥正在对都是登陆页面的资产表进行疯狂的测试,脸上的表情越来越焦灼,越来越痛苦,这时急促的电话铃声响了起来,表哥接到电话后,眉头一紧,嘴中连连冒出虎狼之词,我微笑的看着他,知道出事了,离奇的是好像是被“0day”给干了一顿鼻青脸肿,对面渐渐有了哭腔,看来是找了很久都没有发现突破口,我又大笑了笑接过了电话,原来是客户的财务服务器被勒索病毒给搞了,屏幕上大大的骷髅头十分恐怖,如下图所示很简单的一个网络架构,而且对外只开了3389端口(当然这只是管理员的说辞)。

实际上扫了一下,emmmmm(但愿是防火墙的规则导致吧)

客户的搭建架构是CS架构,也就是客户端和服务端,首先怀疑的可能性是钓鱼,这是勒索病毒对金融行业的惯用手法,看了下金蝶财务软件的漏洞还不少,客户那边装了这个系统后就没管过,安全意识可见之低,远程登陆对日志进行分析,首先就去看了登录日志,因为管理员非常非常确定只开了3389端口(远程桌面默认端口),分析了一下发现有些不对劲,一个来自国外的IP进行了非常有针对性的3389爆破,可以看到一些财务软件有关的用户的尝试登陆日志:
(1)k3admin、admin、assistant(金蝶软件默认或者安装时创建的用户)



金蝶社区发现的线索:


(2)U8admin(可能是用友软件默认或者安装时创建的用户)

马萨卡!(难道),由于CS架构的原因,勒索病毒因为批量性攻击的限制(脚本没有人的灵活判断能力),转为了简单粗暴的3389爆破?于是看了一下登陆成功的日志,果然不出所料,一个名为assistant用户于3月22号11点36分登陆成功了。

最后我们来看下客户的反应,对面表哥的哭后狂骂(笑死人)。

本文来自先知社区

相关文章

人已赞赏
安全工具

Spring Boot 2.x Actuator配置不当RCE漏洞复现

2020-4-2 22:08:20

安全工具

fastjson 正则拒绝服务简单分析

2020-4-2 22:08:30

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
有新消息 消息中心
搜索