国内某单位勒索病毒攻击事件处置实例.docx

国内某单位勒索病毒攻击事件处置实例7月2日，国内某医疗单位HlS系统内多台关键服务器和操作终端业务数据被加密，疑似遭受勒索病毒攻击。HlS系统是为医院整体运行提供全面的自动化管理及各种服务的重要信息系统，一旦瘫痪将对医院造成较大的经济损失和负面社会影响。gSLfrf.id(86A25995-39.webweb321firemail.ccbekingH.id(86A259953OO9.MebWeb321firemail.cc.eking<Jgfrf.id86A259953009l.webweb321firemail.ccbeking.frf.id(86A25995-3OO9.webweb3210firemail.ccJ.eldngrmf.id86A25995-3009|.webweb321firemail.ccJ.ekingiDfrf.id(86A25995-3009).(webweb321firemail.cc.eking5t.frf.id86A259953OO9.webweb321firemail.cc.eldngSS&.frf.id(86A25995-3009.webweb321firemail.ccj.ekingEBXK5,8ra.frf.id(86A25995-3009.webweb321firemail.ccj.eking谓双列报告单-.frf.id86A25995-3009.webweb321firemail.ccl.ekingISS9Lfrf.id86A25995-3009.webweb321firemail.cc.ekingS1.frf.id86A25995-3OO9).webweb321firemail.cc.ekingISra5&2.frf.id86A25995-3009.webweb321firemail.cc.ekingIS吉电frfid186A25995,3009Mwebweb321£remaiLccj.eking(S,frf.id86A25995-3009.webweb321(g)firemail.cc.eidngStfrf.id(86A25995-3009.(webweb321firemail.cc.eldngStfrf.id86A25995-3009).(webweb321firemail.cc.ekingrmf.id86A25995-3009.(webweb321(g)firemail.ccl.eking¢111rfid(86A25995-3009l.(webwh¾2ltffir三wi图1HlS系统服务器文件被加密威努特得知客户情况后，立即成立应急专家小组，第一时间到达客户现场开展该病毒事件的应急处置工作。现场事件处置现场与客户做深入的沟通之后，应急专家小组梳理出应急处置方案，总体处置流程及结果如下：1、现场情况梳理：快速梳理现场的网络结构，客户网络内部署有防火墙、IPS和终端杀毒等防护措施，但是未能防御住勒索病毒的攻击！通过插入U盘测试，发现中毒的服务器依然在做持续加密动作。得出结论：病毒程序没有自我删除，很有可能会在内网中继续扩散。2、病毒样本分析：通过人工识别和判断在中毒服务器中提取出病毒样本，经过研究分析该病毒为Eking,属于Phobos勒索软件家族的变种病毒。Phobos是一个攻击性极强的勒索软件，在HTA勒索信息打开后（标志着Phobos加密结束），它会继续在后台运行，并继续对目标范围内的新文件进行加密。具体病毒行为分析如下：1）释放文件病毒执行后会在系统临时目录下创建3582-490目录及Fast,exe文件:I:= "二二一一:UW?.I:?;.;:一!:?:.二二?:;二2 ":.1W«<二:!4- W;:-?;:;:二* £ : :;:、W-.!.，:»:.Sn ''H"”'?;:k二NIveSeMetiUfereettFle>:rxBx；>m“irio4Tii口7，1>vM91<aitIftfarsiMllI；1M«FX；«，CrMtoTiU卜wvS*aMBtilRfvrw三v：，-卜sAt<fCOwrt*MwMiBft>，：IZrtfU>：s<tfkCrw<Wioct-<RmFF>:卜!.NatmTN,：，：>"“，*：;turn，”(:rf61aMM门”Ye*T*11cf*9MieferMtieofilt)二*5"krcAtara)rta*XIw三tIffrflfl"；卜aFSU,mtu“<卜retfM*rt<?iC.，mt3at；：1312*4*CX*IAU0tIMAlC?j*A>£*«'lwl:MBC.FS11*I9C*4.C41TmC-；t<t："AivOa;»ca«a*sw9G三iKCCCljIAOAwt.>M34CCF*0lC4iW3¾WWCfc，EF.9M1'EMi-gC.*«s.oa*Ma"*>c<X：.XSU-IKV4fLcX?一>M54K<.*mA<5l<tlIR23«：k*tt：wtcU；MTS知ASp9MTBQU-0FStts.uZ*4to>，atC：“<:<Q.3CI<f.J，CrIMTl：XflW".】T«W】UarAHrtEC.:>84ISZa4tO/MtaUZ4WA.u2t0FftAtCT<JOCLrlT】9OGTatMCLe“M30c”.(3Tew>MWFaiteeC-IMXS;2Z4<T9FmWBC.:<!1:a1”Cw.>*7<1*CVlm2tf三2;.11U411Crtw<t：；9C3”Egimr<EK”-ifC*3oVCC37h"5bSsrtc4=4H；2三14*ucwG：8aU“m&rt”.Uri5f4It”C><wCrwi<r<»*«Sriltr1Ce4owvielSMttotRKixSriXf"tidsCrMTlZcc9V43:43<,.r<<C1IM0S*9tfl34FK<3：tl>0WSF3iDC0；src;£-0VS*AteaSJ,spcillCVte*£”，*：*>*】：C:ueeveS”，-x”4KC:*IC4WSF3；p<<c，；CY144v*X*AlMd/X4：ClL*4ov*lrtmld；：CAtaveS，,，3：r*cMill:12MVIjF；r>CB<，CYUMVBm，Ura<t；：Ctlft4mS*AtMKAl：C*KV”，1)；F*rtflCttt40vtl*9ta;reM111C-*130VSSF-；TVC“3«.C；y.m3.totErttAXIaCVl«4«««，*!；”r»，A”，、U*t4owSre三vvrrfM1；C:lt0WSF3。cmiMMe:.vtcQvsSrsUrrt9c0：；etlx4v9"t5：“EXti：CVtv-9<7vv»，«*!；.rrvxee.CW3J”FZxA：C：,U0>VtWtuWtMM44；CVUM<I三3Mttefe4：Ca«幺d；m:XCVieovt1tHmJWtMM411C：VU0WVH3*ta三t<：；-S3GVCSy<t三)tftMMCCtX40*BStaU*xtl三41：C,“1""AOaxal©)汕-2FatC.MilJSlBM<A-ITtM3M2MK3t_a«：uiaMix:an«xaCT4Aa_4:as”FtCFTTIZCVi<4eSyt<oj;Rwe.431C>L4ewZ,fls;pvwe431C-ltwlKMJ9IMT>.«；XCVlC4QWSTGaB3：29XT54UC3m03；M>9f4：XC-Vw<v，00；p¾421t*三t*Mk3'4,:图2Eking释放临时文件不意图2）文件遍历遍历磁盘（遍历系统所有磁盘、网络共享盘等），“y"3Bvwla“ClM:4¼iUI910ItJfT*CI®.9UTMtB乂1>12B3C0003§0ouw:T.9：乙：”：7S)tax3.r42tXl115X*8tlv<r*rf2if3Y三B31<t.lrig9I厮0t二c1;尔RX；ITttWH<T：WCtU19,)-SJCw”rR*«：，£“<：a-32X0330frxmc:2：R=%；9?：mCT3;4.；8".Jmzf=a:<.Bki>Qi<a<I32:<”，,O»0皿，Xt3ecrfs“UfCmrOO*bbi:.r<05MC92I>xJMrtsBMSetit>C9:xs工20tta»ow，：letat>:工Ufitift<t5.OOOCUO.0IflfolitC»：M3S16TT：X<3*>23：<611Sd：；：UiT->0：*;11c:：，z“5X89,I3eFvsCsft33OO：3：3M,Pecu，二”二32：4二i：3。2Fg三C”*G444sU.3"LJ*工；，?<：r:XZ"B19*tev：*：；“0»X4；4>>«Us<xa4a：790：:东88S.SU4kD.XOCOOOI90；：*rs02»，X3I0m:U35T3tUtI.IA“；;Zfj”：X<4433Cfault7a<r3»X：0«20a”rreUH3AWJX“3=gHM3f1.ehs;<:；ge.c*c.jM1日JM，工；”心,C&3“55300000000U3M：C434.nI皿4hcS;HZ9t3RR2320SsetACtac.rui:CGlC0XCCJ50J0TA3gr333l»3；Ill】"Ml"CX352：1，IO,*nloa30.MW<SXl：0X二639.£；m2"r*4。3：M3'2IUU;IX1Btt1<oxoc>S20*“！：oMar45IlIOMDoct三nta：2X32：210”tHx：AXX2Z0rwx:2OWCO2II0JaMttX：0OOOCOPII0，dr0XC0;IS0v*.tF>：Hf;YV：HX8：3E；4kb"08W：IO3X：UCy；f：T3；-：8-3加O：6；4Tib"XUB.3a：4c2£：rS；V；，L3t*OOCC4：HFa.OOCOMCOOOOOM>twt3«lMCOO：.r(.0oc0.OMXOHIXOI03-l<FZCXif.WD*f->：；2t«Ka;vro<iau<xo.>.>x*xoc->>>c.r<ERTi*c<<jrdO-Sle*Be-OClOH4i74nBC«nlatMrooooooooooooooco;rM0XOC0OOOWIW&40I,'.r'-：!:-4Y11.*；-：r780C3i2I0tv<set3»»S：C：1SSet-4M.iX-Ja,!*.一)：，««£veel.;t!ut£A.：:i*-4o.o?hou51ett0Xar11IOPXUltMM3X«J23220，XEQ3X«3”220St<4:3H*8”45IiIOSftAJIKtl工X49：X103；?U:n：3c340:"3:XOC413*0Vl<M400019T2949It10»1s«:xanZ0EiU0SiHJMKJA42：“3.300000000lMXC二XaOCOOO00un;，<1.O13.3，.U-QTr：55；3：；:.x:£4”；4HKiwtor*0U¼4¼00ncu”、：.4S：3T：；。：0.。Q9COOC033OCH0；>3MMa32.4.J4UF¾sip0M49”>IFxiVid.2CUS'-JX5."Emtn=cm。c：xxacogy:11in?：二3；42，J;IAfatJaaa：4satxeiat03OOCilO00图3Eking遍历磁盘示意图遍历目录（遍历除系统重要目录外的其它目录,优先遍历Users目录）'3'SF”E'E5'“一1了Fa*'Eerr，-ulFai<*/，3FTFmE，e”.“,STi,，rr“rrE9xtt,“&*t、5rMtrcerta,9Z5<一11E:H:.«:£，.£1.,t.-t-5-t.t.t.Q*t.*R*.t.t2二：«:二：«r二二:”“!r”：二“：“”二”二“二“二”'ra'a''li'a,1,«,"i,k'八,"6,'«,('s7ossmlxixlbCiZliewtoCwwrIPrClTfty*TwfxsearbC4"©i，“，<rCte7kVtfMvDiteetMf:mCrwteftle1mr*Cretw*iGWdFwLJ-43?LClMU:：rW:“<43.XMl4LMM*CX!etM?1v*yD*feMtffCMfkLZrweriIan13w*t小，8，K7>Cj,3NIa<*5fctorr1MySfMtcr©30：rre<feflie*pr*FkGtT，c3？、Siytd0，QXmI>tr<fl>keeyt*e¼ct1*m*D¾wtkCleM>!e)E2*1I4*5UMtM?1amEr卜wftOrM<Mt136“VM<4up卜w*f4f*wr)8wt"mk卜G?C;Ht>I，vMSte4Crkle*«3F*c*lQuaiS；t<VM1veDte*wrd<>:rWxlI4M4*S.aMtM1MAtfDkfetMf>9fvDr*wrK-：,IZrMtaFiXeISws0<Ut卜wrvrwrIMfDl>Wl<T)r；x“；1I831)uec3f*9cr>w<4rwwr>tver兑三三三Ala'、rOC3二a三二三.>。.>1尸。/.>串岸E:】=:3二二二«士工二；M;工:：:2:二？I二二二M二M比S±EMUFmjj三j三j三jiM三三wj三三jh三三iii三三Biijrj三i二ItlLk图4Eking遍历目录示思图3）文件加密IUMMXs>?4tIIlXX，I1FartyII：34MM<MF>rtc，】；：XXJhe"ugSKMMIM4,FwtB：11MM3MUFr*a««»11XHMM.r，s：:MF1r<MtIIiMM9W1gSKMM<T;r:CXx，*,tII：XXMSFfatt3X.U.MM：4lFUVU«alMM”4口1F4t3IIlMlUT'I11XXUlMIettr：【；XX,；ru.ta&li.MJ4U*>,PM4S；itu,r1H>4>：4U4FFiX11XX,MM，”EwI-U.M,FllVWIIlMUZM。5Mt11MU*twFMt«iiiXM-torrv*11XHXMMUEtO&ilM“82'E:«1«>UXUUC3t,F<1KXX»rIKXX-6,ErsI.；.MM>l*rut.«14I11UUlK,r4tutHMX9x;'r<tBnXMM：UFFtfni-:.XXX；，rtvts8L“MMMtFiit53MMUMv,r>1IlX>M'M,，<Iuxx，arnn%1.X乂"工,F&AVCl«.”“,r”？7>Xlen7rr<t.)XM»W5irr»X11.34230H'r&AVS&11Mnwii,FiV”itU3,ElrT*'rx)tMnour,r“rMr<ttrvl.x；.M3配；AA"uiI1；XHCJ：,F*»”tt>M043»,rtxI1；XXXgClrcx“，aj;】AratvoSHM13C¾,Fii：U4IKMM4X*33:XW"U，rIHXM443X,F<r¾03H4SC,FAiXI11>41U4M4'F4tI11Xn4Ctl,3'1；.X1，IOV3IKM1341i,F*4t«14inMtu<,r*iHX皿Xnrfm*i1I：*21<MM,m01LX.Mn：CM4"L3inTU0¼7,413I11X>3H317,rt1；X>,rt*Em;,ruvm»n*XA-,fuxBMHXaaC,rIIlMR3；“lIHX；，2；m'rFrX1；.M>3MG<X'U33rteiCrwtF:1,立rrX-rj"tt三:Y八.(Ktf：、2HJ9,l):.，：.>Eun:«.1;»，：trrt<.->3TTM33>乂3we<r:OautmAu-I4TU口3«r，1,rrS>frw:9>.二”n：t、at4f;；*3ajt*4：，.2.“-F.：Gw*，I；CrMtiFilv/u，RkRtnaUMn:.tc*nukTreatr.X>r*flur73皿33or三=9nICr6C*U、Q->>stk!)r)K9"、rFG»'Rtf：>303U3S：9*,MtOtW42tloaXtMMiQcflUGM*r)：/b3”,>4rr3,MBjUMev*2,eF4t.CiJli<krr<FHk4fimFXq，】；>ra3J、xuIeUfermiiMFiltr*Jrt4l、*Mt<tl，eju*ItAceufUfumteiU©2；g31.I-Eftn“>'I，CitFdGg，N-：3】“k»p；4；tl*Tnfw<.1.J.：<,:urr.,:?<:>exItAAAaxSUlmtieJLX；.tr，>，m"：”arw-x九"k<nx、m-、-mjz,cn>'rEfx：-3K3uahMTUd3Skf<Mtr.k11tffl；，ar*St<？4JSZrfTTWt:«/:；«CXMXtfU二个>«ll“”«:;?t-twS1,«8>vMl7r«G二三二二M=三±23;M二Mg=g£«M:3之:之:52:W;g=fMx22二C'J'UJju,jJJ,J,J-fJJJUJJJUU,j,JJ,JJJ'uJj'J'-1j-4>J''J'-J，J'u'j，JJJ'rJJU.JJJ，jJJu'u，JSs"三三WBJJPPBRZCYBBB""R!lep!fe8iBJ!JRR!?二泻二浑Tg瑞芦声T-涔二2二:七£!(:.U晨二£学二J:T第ll:E:，蓼七二KW二比二MM晨2晨:七=.:.工士IJ.!:T,Ii:ttttttvtt>vxtf-vtt*xttttt<>xtfvvt<vlvt-v*v*t*vttL¾t>¾vtt-Vv二F“二”二二二二二3二二二二”U二二“二二二二二”“二二«»二”“二曹“：二Q二鲁“图5Eking加密又件示意图4）病毒驻留释放病毒母体文件文件:1:11U1M>3MCIIl6U4i9HI.AXU33，'X“Ii41U111tc4M5OC*IIi-Msxm6VilVC5»UX.UUUMO;t1Il：«4>M4lM1IXMX5;Mi13W4<UI.A：9U&CM4÷4U0i?t1：U4M9sb121H-3.IU：U84R63111UU4r：<：<4UMtUM2KCI1KU997U6"3"UXUIi03%9tIlU3力5”亍1IiM4X*4rIIIMUCSZSX.1XK.3C3；：IIlt63如；1114*2XX丁i-ii“TKGdM3J”IIlKfUW：，1Kt<33M1Ti>：HMX<OF3MnX.C：U319”tisH4UtoertitU乂y<Kl4M4i$.：*33;iHSU443UISlK43*4UC':,ArMVMTMlMtBrrOto«6.WtOt»<a14m”,tMtAtMtUtAAt.anB4M<»nMt“L；&)»»；干一二.；工509.tf!ISl1«7W?：IHK3WM：nx.xx<.u>rr:r1AA“2MS”tSSHOMCCIIl1«43W>:i'i“m;sLX.XXMU>M：>1Il碑UMI?ttlMamI-H-K44X04«丁12；x44xor1“U43.X4t:U4t3C3'：44：fcl：t3：M44040：JG：.；*t4404.9IIlI*4434：XtUIa404CUI13X4454Wc.，“二Q1LUU33»lIUKM3<TT3:<wae<'I21UH3ami'x.;.mmalIlHMlWfIItMFH二:rHMirw»XI.XlU.M1M<T三；;Uur;:“«<.a1«*4，tMt-“inc&BV”-:;:二*2-”Wu>U”;2“丈nLI二二二二二23":“”X-Xuuuw第*UUWjyUU兄Wul;Wa1ZUM管、:;，一：u“M"ULK1:US：U”UUC9Mi-、IUserilt>1Mu<rUMtAf?GTC1*jF11MEmL)11Fll卜：3Mtee：i*卜rrirw1rG61r：Ttrr«Fx；«ImrUctaxyK-bCrFIekMe!rf<t3>or*51u<x*0Uct32y"-l卜Fl)MtrFBm7M"911Bmk八”1卜KF山bCs51U”1AE*<11EU1M!fiAlctAfQiaatlFXla卜te*rfw4vKrfale1mri4tf*wMFtlC2：“1XXMtFlUqwmIetrB*faFiIa1X”lKE3"卜：，“2；ISUQg卜*r<F42M>>e<卜"/一：«M»36'<>3zr34ase-gm：3aF：:18eiM4fiuIm“n“，9n:上：V.t11u-wFH了；，<«If»T>,1一，：,I>LF-.三三三三工i三s三¾三8三!三U三«n3L二三二UXLW、'.-:“三FEEJ>4141-4A«1IA««««4««4«41«112««、1AatsaaBaeaftBAa:M:二二三三-:三三三三一二二.“laF*t"ta*l“tttts"*«”.,“a6"Ft,.三三三三三三三三三三三三wwux三l三.z三比=j三:ii三rsc-:«:«:篇:«:皿gFE富:2M:H:kM:黑:J7Rurtur>"r>Ju:77.un.J，u,3g.ungJt3JJTtr,Ju>unS:-工XkkkMK蓼黑尸二蜷c.cee-JeCcc-e.CccjtuCCUCfCCK一)W-CE.g3R1KFwtr3，d一)300EiMM-4KF34-48y"348Prm*JuU”&J*H«*EX%6M>Mt6feXm，*，7UCAA.VOe，Me”94»FmiE3*W4：MnttllMV”87»CFMt8312U4K，33.“IQ4G”川,MD7lK，M二二3二二73:McF:««三心芯器装RVt3f>933J3X3二二二二三二VT:SSSiI219-h3三zi三藻宵二iZr三三l7l九:t:r««.«irEtr:r:JtJL4lrxeGe=l匕“db-%ei91tz图6Eking释放病毒母体又件示意图注册表修改exe关联路径（打开exe程序时会再次执行病毒文件）步注册表娟瑁器文件(B丽(E)F(V)收蔽（八）MfiZKH)EnUmBthMtPConnectOrS.Enum*ERcLuaEIevationHeIperERcLuaSupporLl,EventPublisher.EventPublisherEventsystem-EventCIassEventSystem-EventCIaS5.1,Eventsystem-EventPubIisherEventSystem.EventPublisher.l,EvetSystem.EventSubscriptionEVentSyStem.EventSubscriptionHEVentSyStem.EventSystemMEventSystem-EventSystem.1>“4evtevtxfile，e×efileJfiDefaulticon；*shellLopencommand名称网(K认)afc:IsoIatedCommand数值名称国)(KU)数值数据W)翅REGJZREGSZGWin."%l¾:hndoyssvcostCgOiE3runes>jrunasusershellexf11rf-HKEY.LOCAL.MACHINESOFTWAREClassesexefileshellopencommand图7Ekirlg注册表修改exe关联路径示意图3、攻防对抗测试：将勒索病毒样本与威努特防勒索系统进行真实攻防对抗，勒索病毒样本运行后，防勒索系统的行为监测模块监测到有恶意程序在调用高危指令，同时病毒诱捕模块诱捕到该勒索病毒遍历行为，主机防勒索系统立即发出告警，对勒索病毒进行阻拦和隔离，有效的阻止了勒索病毒的运行。4、防止扩散动作：为避免病毒在内网中继续横向扩散，感染其它服务器和操作工作站，应急专家小组协助客户对重要服务器和工作站部署威努特主机防勒索系统，并开启相关防护措施。最终，仅用时4个小时，就完成了从采样、分析、防护等一系列应急处置工作，保障现场业务正常运行，不再继续遭受该勒索病毒的攻击威胁，威努特技术专家的专业技能能力得到了用户的一致好评。为什么防火墙、IPS和终端杀毒等防护措施无法有效防御？目前活跃在市面上的勒索攻击病毒种类繁多，而且每个家族的勒索病毒也处于不断地更新变异之中，极高频率的变种使得基于病毒特征库的传统杀毒软件在应对海量新型勒索病毒时，毫无用武之地。并且勒索攻击形式多样，主要有文件加密、数据窃取、系统加密和屏幕锁定等四种主要的形式，造成的后果严重，EDR产品响应阻断机制生效的前提是勒索病毒已经产生了异常行为，响应阻断的动作一旦滞后，将造成为时已晚、不可挽回的严重损失。此外，勒索攻击已显著具备APT攻击的特点，勒索攻击普遍采用漏洞利用、钓鱼邮