1.背景
在2024年4月1日,我们的Solar应急响应团队(以下简称Solar团队)应某公司之邀,介入处理了一起NAS系统服务器遭受黑客攻击的事件。该事件导致服务器上所有文件被加密。我们的团队迅速获取了一个被加密的文件,并立即开始了解密工作。通过细致的分析,我们确定了这是来自mallox家族的一种最新变种——rmallox。
我们的解密专家采用多种技术手段,成功恢复了被加密的测试文件。在随后的工作中,Solar团队深入进行了系统的解密和恢复工作,清除了黑客留下的后门,修复了受损的服务文件,并彻底还原了整个攻击链条。我们识别并修复了系统中的各项安全漏洞,并在获得客户授权后,对其财务管理系统进行了深入的渗透测试。测试中发现了一个0day漏洞,我们随后与该系统的制造商联系,并协助其完成了漏洞的修补工作,确保了系统能够在两天内全面恢复正常运行状态。
在溯源方面,我们发现客户系统遭遇了来自两个不同地区黑客团伙的攻击。尽管这两波攻击行为间隔了数月,但令人注目的是,两个团伙都利用了相同的财务系统0day漏洞进行入侵,并使用了同一种国内知名的shell管理工具上传webshell。这种相似性暗示了两者之间可能存在某种联系。尤其值得注意的是,第二个团伙属于一个有名的境外勒索软件组织,而第一个黑客则利用了国内一款著名ERP系统的0day漏洞,这进一步增加了两者联系的可能性。
本文详细介绍了我们如何有效地应对并解决勒索病毒这一网络安全事件,展示了我们在勒索软件应对和应急响应方面的专业能力。我们期待与更多的安全同行分享经验和案例,共同提高对抗网络威胁的能力。欢迎大家关注我们的公众号,了解更多关于勒索病毒防御和应急响应的知识和案例。
2.溯源分析
2.1 受灾情况统计
2024年3月24日,Solar应急响应团队到达该集团现场,最终情况如下:
| 被加密服务器数量 | 1台 |
|---|---|
| 被加密文件总数 | 759898个 |
| 被加密数据大小 | 1.27TB |
| 后门账号 | 1个 |
| 数据恢复时长 | 1天 |
| 数据恢复率 | 99% |
统计出的被加密服务器情况:
图中数据已脱敏,仅作示例参考
2.2 最初攻击时间
1.入口点IP为192.168.0.xx,该服务器上运行某管理系统平台,远程桌面无弱口令。
2.最初加密时间为2024年3月23日 17:22。
3.初步排查日志推测入口点为该服务器搭建的管理系统平台,当日(2024年3月23日)IIS日志被清空至上午10:13:43。
2.3 Windows日志查看
1.Secur
最低0.47元/天 解锁文章
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
