0x01 现场情况中勒索病毒的服务器置于云上,配置了弹性公网IP,Windows server 2008 R2系统,安全组方面虽更改了RDP端口号,但是RDP的服务也还是直接暴露在公网上,同时未配置任何云上安全产品。在突然得知中了勒索病毒的情况下,只能找最传统的方式来查看了。
0x02 所谓“溯源”
首先看到的是checkme文件,告诉你被勒索了(内心OS:Do you support e-CNY?)结合被加密的文件后缀均为Arthur,通过everything在查看文件修改信息后即可确认文件开始被加密的时间为7.2的0:55,7.2的1:32全部加密完成。(PS:检查了生成的checkme文件所有者均为Administrator
通过巨硬的Autoruns检查一下进程是否还有驻留从进程上看加密应该是一次性完成,进程中未发现异常
导出日志到本地查看,用了下Log Parser Lizard,后面用回自带的查看器,无关好坏,看哪个顺手。
Windows日志事件的代码查询,根据时间点关注安全日志下的4624和4625这两个事件ID,在时间接近(7.2 00:29:48),且IP较为异常(77.234.43.184)且有账户登录值的仅有zmkj这一账户。
上图安全标识符的值为S-1-5-21-3121432560-532369993-2617856845-1010,和这个安全ID关联的仅有1501事件,无法判断重要性。
0x03 也许是结论吧?根据网络结构来看,无论是内网还是公网,都需要经过安全组,且安全组中的RDP服务始终对外暴露,因此更倾向于直接从外网打入,无法查找到如何从低权限账户提权到Administration
0x04 后记最近因为各种事情一直没咋睡好觉(好像我睡眠一直不行来着),初看本次溯源的时候就非常困,最后免不了周末加班重新分析(做事还是得认真点哇当然很多部分因能力问题无非找到更有力的证据,只能猜测了,用词上还是慎之又慎(真实的反馈结果即可