一次群晖中勒索病毒后的应急响应
群暉是一種NAS(網絡附屬存儲)系統,在生活中主要扮演個人私有云角色,可以將文件存儲于 NAS,并通過網頁瀏覽器或手機應用程序可實現存儲和共享,同時還提供的豐富應用以方便管理應用。借助群暉提供的 QuickConnect 快連服務,無需隨身攜帶存儲設備,即可以隨時隨地訪問NAS。因為這些優點,群暉往往被當做是NAS的首選。
但偏偏這次被上勒索病毒了,通過資料查詢發現該病毒早在2019年安全專家就已經分析過并已提供預警信息,一旦感染,其中的文件都會被加密,并通過留下的文件索要比特幣。經過初步判斷是通過web界面的弱口令進去的,之后創建了一個定時任務從美國某個IP下載文件來執行命令,并通過勒索病毒對文件進行了加密且暫時未發現該病毒有橫向行動。本文主要記錄群暉中勒索病毒后的應急響應過程。
一、攻擊流程
(一)獲取攻擊目標
目標地址為http://x.x.x.x:5000,根據資料查詢群暉的默認端口就是5000和5001,那么黑客應該是有針對性地通過批量掃描對公網上的IP地址的5000以及5001端口進行檢測,如果掃描到為群暉系統,那么就記錄下來保存結果
(二)實施弱口令爆破
通過工具對目標站點的默認管理賬號admin進行爆破,通過admin/123456爆破進入群暉NAS系統,并且黑客采取了動態切換代理IP的方式來提升我們的溯源難度。
(三)植入勒索病毒
以admin登錄后便植入了勒索病毒,加密硬盤數據(文件類型為encrypt)并留下了比特幣支付地址。
二、應急流程
目標群暉系統版本的DSM為6.2.3-25426,CPU為INTEL Celeron J3455,在公網上沒有已知漏洞存在能夠直接進入目標。
(一)修改密碼
既然知道了入侵源頭,那么先把弱口令修改掉,防止黑客再次通過弱口令登錄,可以通過web系統界面或服務器這兩種方式進行修改
(1)直接修改密碼
將密碼修改為強口令,最好啟用2步驟驗證來提高安全性
(2)在服務器中修改
1、在web界面開啟22端口
2、通過ssh登錄目標群暉的admin賬戶(admin為群暉的默認賬戶)
3、輸入以下命令,直接切換為root權限
4、輸入以下命令,修改密碼為admin123
synouser --setpw admin admin123(二)日志分析
根據受害公司的反饋,他們是從7月29日發現文件被加密,而到了8月3日才尋求技術幫助,那么通過群暉自帶的日志中心可以發現在7月28日晚上11點19分有來自83.97.20.103通過登錄admin賬號
當然溯源這個IP并沒有什么卵用,因為是海外并已被標記為代理、掃描地址
通過日志查詢還發現攻擊者在7月28日19分還創建了定時任務
執行的具體命令如下,主要功能是進入/tmp目錄下將crp_linux_386文件下載下來并賦予777權限輸出為386,通過nohub永久執行386程序且不輸出任何信息到終端
在微步上查詢98.144.56.47,發現已標識為勒索程序,數據解密的希望已經十分渺茫
(三)病毒查殺
首先先將tmp目錄下的386文件刪除(但是未保存病毒原件,不能仔細分析該病毒,比較可惜),之后主要通過群暉自帶的插件Antivirus Essential查看在群暉中是否留有病毒
(1)下載Antivirus Essential
(2)全盤掃描
(3)隔離病毒
(四)數據解密
這個太有意思了,在第一天訪談之后,老板去找了淘寶上的店家破解,我一開始以為淘寶的店家真的那么牛,這種加密的數據都能破解,后來訪問了暗網的地址才發現,淘寶店家直接出錢買了解密工具,直接凈賺xxxx元。
復制一個加密文件通過下載的解密程序嘗試進行解密,最后成功解密。解密過程如下:
三、防范方法
1、停用默認管理賬號admin,新建一個不同的賬號并分配管理權限
2、杜絕弱口令,設置強口令,可參考等保要求中的長度八位以上,由數字、字母、特殊字符構成
3、修改默認登錄端口,可修改如10000+以上的端口
4、開啟登錄失敗鎖定,對多次登錄失敗的IP進行鎖定
5、安裝安全工具(安全顧問),定期更新補丁并升級版本
6、啟用防火墻,配置出入規則
7、文件版本回滾,能輕松將文件還原至感染前的狀態,可以有效防止因感染勒索病毒后文件無法訪問的情況
8、文件權限控制,在分享文件時設置訪問密碼、有效期等,并對文件權限進行控制
總結
以上是生活随笔為你收集整理的一次群晖中勒索病毒后的应急响应的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 教怎样写好一份“漏洞报告”
- 下一篇: 利用该0 day漏洞的攻击活动情况