1. 威客安全首页
  2. 安全资讯

某医院被勒索的溯源分析报告

某医院被勒索的溯源分析报告

文章来源:大兵说安全

一、事件概况

 
2019年12月XX日上午,我司接到某单位求助电话,网内3台服务器感染勒索病毒。接到电话,我司第一时间安排工程师赶赴现场。查看中毒的服务器,确认服务器感染勒索病毒。我司工程师征求了客户的同意后,在客户方的协助下,对感染的服务器使用Acronis磁盘镜像备份工具,对整个磁盘进行了镜像备份,用以对磁盘数据进行调查分析。

二、数据分析


对感染病毒的服务器,取证分析结果如下(有删节):


1、192.168.200.XX

首先分析192.168.200.XX,该服务器双网卡配置,同时连接了内网和外网,服务器自身开启远程桌面服务(RDP 3389端口),且在边界防火墙侧开放3389端口,暴露在公网中。

某医院被勒索的溯源分析报告

查看最近运行过的程序列表,发现黑客在12月2日19:49:41运行大量的黑客工具。

某医院被勒索的溯源分析报告



    在运行上述工具后,对黑客对内网进行进一步渗透,并在2019.12.02 20:32:09产生如下结果文件,主要包含内网其他服务器的系统登录名和密码。可以看到客户服务器的口令几乎都是一样的,而且都属于弱口令。(何为弱口令,请参阅《这一步做好,能减少一半被勒索的机会》)

某医院被勒索的溯源分析报告

某医院被勒索的溯源分析报告

某医院被勒索的溯源分析报告

查看这个时间段的RDP远程登录日志,发现匹配的时间成功登陆的时间为2019-12-02 19:21:59,对应的IP地址为185.86.76.38

某医院被勒索的溯源分析报告



查询到该IP所在地为乌克兰

 

某医院被勒索的溯源分析报告



通过对远程登录日志的仔细检查,发现早在2019-09-10起,就有针对192.168.200.25这台服务器的大量的不正常日志记录 ,此处截取一部分。

某医院被勒索的溯源分析报告


从中可以看到有各种各样的用户名,所以可以确定是黑客在使用字典攻击对RDP远程桌面暴力破解。


2、192.168.200.YY


这台同样为双网卡服务器,内外网通连,RDP远程桌面3389端口,暴露在互联网,边界防火墙未作隔离阻断策略。

某医院被勒索的溯源分析报告



查看程序最近运行的程序,发现12月2日20:51:41,黑客运行主机扫描和破坏工具。

某医院被勒索的溯源分析报告



查看RDP远程桌面登录日志,发现该时间段内远程登陆该主机的IP为192.168.200.XX。证明黑客是攻陷192.168.200.XX服务器后,从192.168.200.XX通过远程桌面进入192.168.200.YY服务器。

某医院被勒索的溯源分析报告



同样在该服务器上发现了大量的密码采集工具(已被加密),从下图中可以看到该服务器文件的加密时间是2019-12-09 21:07

某医院被勒索的溯源分析报告


3、192.168.16.ZZ

最后一台IP:192.168.16.ZZ服务器,做了简单的Windows日志分析。查看该服务器内文件被加密的时间为2019-12-02 21:20


某医院被勒索的溯源分析报告


查看该时间段内的安全审计日志,发现2019-12-0221:13:17有从192.168.200.YY服务器通过RDP远程桌面登陆的日志记录

某医院被勒索的溯源分析报告

 

三、入侵流程描述


  1. 2019-12-02 19:21:59

    黑客(IP:185.86.76.38)通过RDP口令爆破,进入192.168.200.XX服务器,以该服务器为跳板,在该服务器上下载了黑客工具包和勒索病毒,进而渗透内网,掌握了网络内服务器资产的分布情况。

    因为其他服务器使用同一口令。因此,很快打穿其它服务器。

  2. 2019-12-02 20:50:16

    黑客从192.168.200.XX进入了192.168.200.YY这台服务器,将工具包和病毒上传到了该服务器,随后运行了病毒;

  3. 2019-12-09 21:13:17

    黑客从192.168.200.YY进入了192.168.16.ZZ这台服务器,将工具包和病毒上传到了该服务器,随后运行了病毒;

  4. 最后黑客又回到192.168.200.XX,运行了病毒,然后运行反取证工具,清理掉部分作案信息,退出服务器。



某医院被勒索的溯源分析报告


       

四、安全整改意见


结合甲方实际情况,建议如下:(有删节,详细内容略去)


1、   在边界防火墙侧,调整网络安全策略,仅开放业务所需端口(关闭所有高危端口,如:3389、135、139、22、445等)。若预算充裕的情况下,推荐采用更为合规的堡垒机设备统一登录权限审计,保护后端服务器业务。


2、在服务器和客户端安装带主动防御功能的最新版本终端安全防护产品,并做到病毒库及时更新终端安全防护产品,启用主机系统防火墙模块和HIPS模块,并配置针对各个主机的端口封闭策略,仅对主机开放业务所需端口。开启终端安全防护产品的应用程序管控模块,启用应用程序白名单保护机制,进行主机加固,以防止黑客使用进程分析工具截断主机安全产品。


3、建议所有Windows系统及时进行补丁更新,对于医院的内网环境,可以采用WSUS进行自动补丁更新,也可以采用补丁分发系统及时对终端用户进行补丁更新。


4、对于存在弱口令的系统,需在加强使用者安全意识的前提下,督促其修改密码,或者使用策略来强制限制密码长度和复杂性,禁止多台服务器共用一个密码,定期(3-6个月)修改一次,且对系统登录口令开启登录失败次数锁定策略,防止暴力破解。建议采用双因素身份认证系统。


5、对业务安全域重新审核,合理划分安全域,在每个内网安全域边界配置隔离策略,实现纵深防御效果,以防止入侵者内网横向穿透。


6、建议使用专业的日志审计和收集设备。


7、按网络安全法规定,建议对我院信息科人员定期进行专业网络安全技能培训,对全院医护人员进行网络安全意识培训。


8、对黑客疑似访问过的其他IP地址主机进行调查分析,防止留有其他后门程序,再次入侵网络。同时及时修改系统的立立立立立立立立立立立立立立立立立立登录口令。

某医院被勒索的溯源分析报告

某医院被勒索的溯源分析报告



9、灾难恢复是网络安全的最后一道防线。所以务必做好数据、应用、系统的备份,并定期对备份数据测试和灾难恢复演练。


10、其他(略)。可参见如何构建安全体系防范勒索病毒

某医院被勒索的溯源分析报告


推荐文章++++

某医院被勒索的溯源分析报告

*医院未履行网络安全保护义务被处罚,并责令该公司技术部门立即进行整改

*佳明给勒索病毒支付数百万美元“赎金”,该不该罚?

*勒索软件公布从某城市盗取的文件


某医院被勒索的溯源分析报告

某医院被勒索的溯源分析报告

原文始发于微信公众号(黑白之道):某医院被勒索的溯源分析报告

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论