[點晴永久免費OA]間隔數(shù)月雙團伙先后利用某ERP0day實施入侵和勒索的解密恢復(fù)項目案例介紹

當(dāng)前位置：點晴教程→點晴OA辦公管理信息系統(tǒng) →『經(jīng)驗分享&問題答疑』

admin

2024年4月1日 14:52 本文熱度 1172

1.背景

在2024年3月23日，Solar應(yīng)急響應(yīng)團隊（以下簡稱Solar團隊）應(yīng)某公司之邀，介入處理了一起財務(wù)系統(tǒng)服務(wù)器遭受黑客攻擊的事件。該事件導(dǎo)致服務(wù)器上大量文件被加密。Solar團隊迅速獲取了一個被加密的文件，并立即開始了解密工作。通過細致的分析，Solar團隊確定了這是來自mallox家族的一種最新變種——rmallox。

Solar團隊的解密專家采用多種技術(shù)手段，成功恢復(fù)了被加密的測試文件。在隨后的工作中，Solar團隊深入進行了系統(tǒng)的解密和恢復(fù)工作，清除了黑客留下的后門，修復(fù)了受損的服務(wù)文件，并徹底還原了整個攻擊鏈條。Solar團隊識別并修復(fù)了系統(tǒng)中的各項安全漏洞，并在獲得客戶授權(quán)后，對其財務(wù)管理系統(tǒng)進行了深入的滲透測試。測試中發(fā)現(xiàn)了一個0day漏洞，Solar團隊隨后與該系統(tǒng)的制造商聯(lián)系，并協(xié)助其完成了漏洞的修補工作，確保了系統(tǒng)能夠在兩天內(nèi)全面恢復(fù)正常運行狀態(tài)。

在溯源方面，Solar團隊發(fā)現(xiàn)客戶系統(tǒng)遭遇了來自兩個不同地區(qū)黑客團伙的攻擊。盡管這兩波攻擊行為間隔了數(shù)月，但令人注目的是，兩個團伙都利用了相同的財務(wù)系統(tǒng)0day漏洞進行入侵，并使用了同一種國內(nèi)知名的shell管理工具上傳webshell。這種相似性暗示了兩者之間可能存在某種聯(lián)系。尤其值得注意的是，第二個團伙屬于一個有名的境外勒索軟件組織，而第一個黑客則利用了國內(nèi)一款著名ERP系統(tǒng)的0day漏洞，這進一步增加了兩者聯(lián)系的可能性。

本文詳細介紹了Solar團隊如何有效地應(yīng)對并解決勒索病毒這一網(wǎng)絡(luò)安全事件，展示了Solar團隊在勒索軟件應(yīng)對和應(yīng)急響應(yīng)方面的專業(yè)能力。Solar團隊期待與更多的安全同行分享經(jīng)驗和案例，共同提高對抗網(wǎng)絡(luò)威脅的能力。歡迎大家關(guān)注Solar團隊的公眾號，了解更多關(guān)于勒索病毒防御和應(yīng)急響應(yīng)的知識和案例。

2.溯源分析

2.1 受災(zāi)情況統(tǒng)計

2024年3月24日，Solar應(yīng)急響應(yīng)團隊到達該集團現(xiàn)場，最終情況如下：

被加密服務(wù)器數(shù)量	1臺
被加密文件總數(shù)	759898個
被加密數(shù)據(jù)大小	1.27TB
后門路徑	1個
后門木馬	18個
數(shù)據(jù)恢復(fù)時長	1天
數(shù)據(jù)恢復(fù)率	99％

統(tǒng)計出的被加密服務(wù)器情況：

圖中數(shù)據(jù)已脫敏，僅作示例參考

2.2 最初攻擊時間

1.入口點IP為192.168.0.xx，該服務(wù)器上運行某管理系統(tǒng)平臺，遠程桌面無弱口令。

2.最初加密時間為2024年3月23日 17:22。

3.初步排查日志推測入口點為該服務(wù)器搭建的管理系統(tǒng)平臺，當(dāng)日（2024年3月23日）IIS日志被清空至上午10:13:43。

2.3 Windows日志查看

1.Security日志無爆破記錄，但有異常外聯(lián)行為。

該IP指向美國惡意IP

2.4 后門排查

1.在2024年3月22日已存在攻擊，且其他端口服務(wù)也存在1024.aspx。

2.后門排查時，在網(wǎng)站文件上傳路徑以及網(wǎng)站備份路徑中都發(fā)現(xiàn)多個webshell后門，在23年12月7日的日志中就能發(fā)現(xiàn)被攻擊歷史，可推斷該服務(wù)器搭建的管理系統(tǒng)平臺長期存在漏洞。

3.于2024年3月23日 17:21:39執(zhí)行勒索工具admin.exe。

4.加密時CPU使用率及磁盤讀寫。

5.清除amcache歷史記錄。

2.5 攻擊方法

1.MSSQL執(zhí)行xp_cmdshell日志，推測是該服務(wù)器搭建的管理系統(tǒng)平臺存在SQL注入(0day)。

2.經(jīng)驗證，存在SQL注入，并且可以os-shell，可以執(zhí)行系統(tǒng)命令，獲取權(quán)限。

3.利用webshell管理工具中的提權(quán)工具，可將web低權(quán)限提升至system最高權(quán)限。

2.6 詳細攻擊路徑

2024年3月24日，根據(jù)對日志的調(diào)研分析，安全專家已梳理出入侵路線如下（已脫敏）：

該服務(wù)器最早的攻擊歷史可追溯至2023年12月6日，黑客A（該攻擊者IP為國內(nèi)某家用寬帶IP）通過服務(wù)器上搭建的某財務(wù)系統(tǒng)0day上傳了多個webshell（222.ashx、q1.aspx等），此時并未做勒索加密行為；黑客B（該攻擊者IP為境外IP）在2024年3月22日，依舊通過該財務(wù)系統(tǒng)0day入侵，上傳了“1024.aspx”的webshell，隨后攻擊者實施勒索攻擊并將當(dāng)天IIS日志進行清空，通過Security日志排查到在2024月03/15 17:17:15存在異常外聯(lián)行為，外聯(lián)IP為195.xxx.xx.xx和xxx.105.xxx.xx。2024/03/23 17:21:39執(zhí)行勒索工具admin.exe進行數(shù)據(jù)勒索加密，期間對外連接訪問IP91.xxx.xx.xxx，該IP被判定為惡意地址，根據(jù)日志推測該服務(wù)器搭建的管理系統(tǒng)平臺存在SQL注入漏洞和文件上傳漏洞（0day），通過滲透測試可得出能利用該漏洞進行提權(quán)，驗證了后續(xù)勒索加密的操作。建議對該系統(tǒng)進行補丁修復(fù)。

進一步分析顯示，盡管黑客A和黑客B的攻擊行為間隔了數(shù)月，但兩者通過相同的財務(wù)系統(tǒng)0day漏洞進行入侵，且均使用了國內(nèi)某知名shell管理工具上傳的webshell，這暗示了兩者之間可能存在一定聯(lián)系。特別是考慮到，黑客B所屬的組織是一個知名的境外勒索軟件團伙，而黑客A最初利用的是國內(nèi)某知名ERP系統(tǒng)的0day漏洞，這進一步加深了兩者聯(lián)系的疑問。

綜上所述，我們面臨的是一個復(fù)雜且協(xié)調(diào)的網(wǎng)絡(luò)安全威脅，不僅涉及國內(nèi)外多方面的攻擊者，也暴露了我們系統(tǒng)中存在的關(guān)鍵漏洞。立即采取措施修補這些漏洞，同時加強系統(tǒng)的整體安全架構(gòu)，是我們首要的任務(wù)。此外，深入調(diào)查這些攻擊者之間的潛在聯(lián)系，可能揭示更廣泛的安全威脅模式，為我們提供防御這類攻擊的關(guān)鍵情報。

3.病毒分析

3.1威脅分析

病毒家族	mallox
首次出現(xiàn)時間/捕獲分析時間	2023年8月28日 \|\| 2024年3月20日
威脅類型	勒索軟件，加密病毒
勒索軟件地區(qū)	疑似俄羅斯聯(lián)邦
加密文件擴展名	.rmallox
勒索信文件名	HOW TO BACK FILES.txt
有無免費解密器？	無
聯(lián)系郵箱	mallox.resurrection@onionmail.org
檢測名稱	Avast (Win32:RansomX-gen [Ransom]), AhnLab-V3 (Ransomware/Win.Ransom.C5011664), AliCloud (RansomWare), Avast (Win32:RansomX-gen [Ransom]), Avira (no cloud) (HEUR/AGEN.1319014), BitDefenderTheta (Gen:NN.ZexaF.36802.muW@a83MUGci)，ClamAV（Win.Ransomware.Rapid-9371249-0），Cybereason（Malicious.0fe686），Cynet（Malicious (score: 100)），DrWeb（Trojan.Encoder.37869），eScan（Trojan.GenericKD.70329037）， Fortinet （W32/Filecoder.MALL!tr.ransom），Google（Detected）
感染癥狀	無法打開存儲在計算機上的文件，以前功能的文件現(xiàn)在具有不同的擴展名（.rmallox）。桌面上會顯示一條勒索要求消息（HOW TO BACK FILES.txt）。網(wǎng)絡(luò)犯罪分子要求通過洋蔥路由登錄到他們提供的數(shù)據(jù)恢復(fù)網(wǎng)站，根據(jù)不同的用戶情況，黑客的開價也不同
感染方式	受感染的電子郵件附件（宏）、惡意廣告、漏洞利用、惡意鏈接
受災(zāi)影響	大部分文件（不包括exe dll等文件，與重要系統(tǒng)文件）都經(jīng)過加密，如果不支付贖金無法打開。黑客聲稱拿到了電腦內(nèi)的重要數(shù)據(jù)，若不支付贖金則會在黑客的blog上公開

3.2加密前后對比

加密后

解密后

加密前

加密后

3.3 詳細分析

詳情可見：【病毒分析】mallox家族rmallox變種加密器分析報告

4.解密恢復(fù)

Solar團隊安排工程師去到客戶現(xiàn)場，線下協(xié)助客戶進行勒索病毒解密恢復(fù)，最終成功解密和恢復(fù)了被加密的數(shù)據(jù)文件，同時還對客戶的網(wǎng)絡(luò)安全情況做了全面的評估，并提供了相應(yīng)的解決方法和建設(shè)思路，獲得了客戶的高度好評。

解密前

解密后

5.后門排查

完成解密后，Solar團隊使用專用后門排查工具對客戶服務(wù)器的自啟動項、計劃任務(wù)、可疑網(wǎng)絡(luò)連接、賬號密碼強度、可疑進程等項目進行了排查，將遺留后門全部清除。并對隱患項提出了安全加固建議，確保不存在遺留后門，并對服務(wù)器進行快照及備份處理。下表為安全加固排查總表：

圖中信息均已脫敏處理

6.滲透測試

本次滲透測試經(jīng)客戶授權(quán)前提下操作

6.1 滲透測試結(jié)果

本次滲透測試目標為：

本次滲透測試共發(fā)現(xiàn)3個漏洞（0day），其中2個高危，1個中危，漏洞類型包括：SQL注入漏洞、任意文件上傳漏洞、未授權(quán)訪問

6.2 修復(fù)建議

對路徑的訪問增加鑒權(quán)：

確保只有授權(quán)用戶或系統(tǒng)可以訪問該路徑，可以通過設(shè)置文件系統(tǒng)權(quán)限、網(wǎng)絡(luò)訪問控制列表（ACL）等方式限制訪問權(quán)限。
使用身份驗證和授權(quán)機制，如用戶名密碼、令牌、證書等來驗證用戶身份，并授予適當(dāng)?shù)脑L問權(quán)限。
實施多層次的安全措施，如使用防火墻、網(wǎng)絡(luò)隔離、VPN等來保護路徑免受未經(jīng)授權(quán)的訪問。

對敏感字符進行過濾：

在接收用戶輸入或處理數(shù)據(jù)時，應(yīng)該對敏感字符進行過濾和清理，以防止惡意代碼注入、跨站腳本攻擊等安全威脅。
使用白名單過濾機制，只允許特定的字符或格式通過，而拒絕其他不符合規(guī)范的輸入。
考慮使用安全編碼庫或框架來處理用戶輸入，確保對敏感字符的過濾和轉(zhuǎn)義操作是正確且完整的。

對上傳文件格式、內(nèi)容進行過濾：

在接收用戶上傳的文件時，應(yīng)該檢查文件格式、內(nèi)容是否符合預(yù)期，并進行必要的驗證和過濾。
限制允許上傳的文件類型和大小，避免惡意文件上傳和執(zhí)行，例如通過文件擴展名、MIME 類型等進行驗證。
對上傳的文件進行安全掃描和檢測，確保文件不包含惡意代碼、病毒等危險內(nèi)容。

7.安全建議

7.1 風(fēng)險消減措施

資產(chǎn)梳理排查目標:根據(jù)實際情況，對內(nèi)外網(wǎng)資產(chǎn)進行分時期排查

服務(wù)方式:調(diào)研訪談、現(xiàn)場勘查、工具掃描

服務(wù)關(guān)鍵內(nèi)容：流量威脅監(jiān)測系統(tǒng)排查、互聯(lián)網(wǎng)暴露面掃描服務(wù)、技術(shù)加固服務(wù)、集權(quán)系統(tǒng)排查

7.2 安全設(shè)備調(diào)優(yōu)

目標

通過對安全現(xiàn)狀的梳理和分析，識別安全策略上的不足，結(jié)合目標防御、權(quán)限最小化、縮小攻擊面等一系列參考原則，對設(shè)備的相關(guān)配置策略進行改進調(diào)優(yōu)，一方面，減低無效或低效規(guī)則的出現(xiàn)頻次；另一方面，對缺失或遺漏的規(guī)則進行補充，實現(xiàn)將安全設(shè)備防護能力最優(yōu)化。