【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目

1.背景

        在2024年3月23日,我们的Solar应急响应团队(以下简称Solar团队)应某公司之邀,介入处理了一起财务系统服务器遭受黑客攻击的事件。该事件导致服务器上大量文件被加密。我们的团队迅速获取了一个被加密的文件,并立即开始了解密工作。通过细致的分析,我们确定了这是来自mallox家族的一种最新变种——rmallox。

        我们的解密专家采用多种技术手段,成功恢复了被加密的测试文件。在随后的工作中,Solar团队深入进行了系统的解密和恢复工作,清除了黑客留下的后门,修复了受损的服务文件,并彻底还原了整个攻击链条。我们识别并修复了系统中的各项安全漏洞,并在获得客户授权后,对其财务管理系统进行了深入的渗透测试。测试中发现了一个0day漏洞,我们随后与该系统的制造商联系,并协助其完成了漏洞的修补工作,确保了系统能够在两天内全面恢复正常运行状态。

        在溯源方面,我们发现客户系统遭遇了来自两个不同地区黑客团伙的攻击。尽管这两波攻击行为间隔了数月,但令人注目的是,两个团伙都利用了相同的财务系统0day漏洞进行入侵,并使用了同一种国内知名的shell管理工具上传webshell。这种相似性暗示了两者之间可能存在某种联系。尤其值得注意的是,第二个团伙属于一个有名的境外勒索软件组织,而第一个黑客则利用了国内一款著名ERP系统的0day漏洞,这进一步增加了两者联系的可能性。

        本文详细介绍了我们如何有效地应对并解决勒索病毒这一网络安全事件,展示了我们在勒索软件应对和应急响应方面的专业能力。我们期待与更多的安全同行分享经验和案例,共同提高对抗网络威胁的能力。欢迎大家关注我们的公众号,了解更多关于勒索病毒防御和应急响应的知识和案例。

2.溯源分析

2.1 受灾情况统计

2024年3月24日,Solar应急响应团队到达该集团现场,最终情况如下:

被加密服务器数量1台
被加密文件总数759898个
被加密数据大小1.27TB
后门路径1个
后门木马18个
数据恢复时长1天
数据恢复率99%

统计出的被加密服务器情况:

图片

图中数据已脱敏,仅作示例参考

2.2 最初攻击时间

1.入口点IP为192.168.0.xx,该服务器上运行某管理系统平台,远程桌面无弱口令。

2.最初加密时间为2024年3月23日 17:22。

图片

3.初步排查日志推测入口点为该服务器搭建的管理系统平台,当日(2024年3月23日)IIS日志被清空至上午10:13:43。

图片

2.3 Windows日志查看

1.Security日志无爆破记录,但有异常外联行为。

图片

该IP指向美国恶意IP

图片

图片

2.4 后门排查

1.在2024年3月22日已存在攻击,且其他端口服务也存在1024.aspx。

图片

图片

2.后门排查时,在网站文件上传路径以及网站备份路径中都发现多个webshell后门,在23年12月7日的日志中就能发现被攻击历史,可推断该服务器搭建的管理系统平台长期存在漏洞。

图片

图片

图片

图片

3.于2024年3月23日 17:21:39执行勒索工具amdin.exe。

图片

图片

4.加密时CPU使用率及磁盘读写。

图片

5.清除amcache历史记录。

图片

2.5 攻击方法

1.MSSQL执行xp_cmdshell日志,推测是该服务器搭建的管理系统平台存在SQL注入(0day)。

图片

2.经验证,存在SQL注入,并且可以os-shell,可以执行系统命令,获取权限。

图片

3.利用webshell管理工具中的提权工具,可将web低权限提升至system最高权限。

图片

2.6 详细攻击路径

2024年3月24日,根据对日志的调研分析,安全专家已梳理出入侵路线如下(已脱敏):

该服务器最早的攻击历史可追溯至2023年12月6日,黑客A(该攻击者IP为国内某家用宽带IP)通过服务器上搭建的某财务系统0day上传了多个webshell(222.ashx、q1.aspx等),此时并未做勒索加密行为;黑客B(该攻击者IP为境外IP)在2024年3月22日,依旧通过该财务系统0day入侵,上传了“1024.aspx”的webshell,随后攻击者实施勒索攻击并将当天IIS日志进行清空,通过Security日志排查到在2024月03/15 17:17:15存在异常外联行为,外联IP为195.xxx.xx.xx和xxx.105.xxx.xx。2024/03/23 17:21:39执行勒索工具admin.exe进行数据勒索加密,期间对外连接访问IP91.xxx.xx.xxx,该IP被判定为恶意地址,根据日志推测该服务器搭建的管理系统平台存在SQL注入漏洞和文件上传漏洞(0day),通过渗透测试可得出能利用该漏洞进行提权,验证了后续勒索加密的操作。建议对该系统进行补丁修复。

进一步分析显示,尽管黑客A和黑客B的攻击行为间隔了数月,但两者通过相同的财务系统0day漏洞进行入侵,且均使用了国内某知名shell管理工具上传的webshell,这暗示了两者之间可能存在一定联系。特别是考虑到,黑客B所属的组织是一个知名的境外勒索软件团伙,而黑客A最初利用的是国内某知名ERP系统的0day漏洞,这进一步加深了两者联系的疑问。

综上所述,我们面临的是一个复杂且协调的网络安全威胁,不仅涉及国内外多方面的攻击者,也暴露了我们系统中存在的关键漏洞。立即采取措施修补这些漏洞,同时加强系统的整体安全架构,是我们首要的任务。此外,深入调查这些攻击者之间的潜在联系,可能揭示更广泛的安全威胁模式,为我们提供防御这类攻击的关键情报。

图片

3.病毒分析

3.1威胁分析

病毒家族mallox
首次出现时间/捕获分析时间2023年8月28日 || 2024年3月20日
威胁类型勒索软件,加密病毒
勒索软件地区疑似俄罗斯联邦
加密文件扩展名.rmallox
勒索信文件名HOW TO BACK FILES.txt
有无免费解密器?
联系邮箱mallox.resurrection@onionmail.org
检测名称Avast (Win32:RansomX-gen [Ransom]), AhnLab-V3 (Ransomware/Win.Ransom.C5011664), AliCloud (RansomWare), Avast (Win32:RansomX-gen [Ransom]), Avira (no cloud) (HEUR/AGEN.1319014), BitDefenderTheta (Gen:NN.ZexaF.36802.muW@a83MUGci),ClamAV(Win.Ransomware.Rapid-9371249-0),Cybereason(Malicious.0fe686),Cynet(Malicious (score: 100)),DrWeb(Trojan.Encoder.37869),eScan(Trojan.GenericKD.70329037), Fortinet (W32/Filecoder.MALL!tr.ransom),Google(Detected)
感染症状无法打开存储在计算机上的文件,以前功能的文件现在具有不同的扩展名(.rmallox)。桌面上会显示一条勒索要求消息(HOW TO BACK FILES.txt)。网络犯罪分子要求通过洋葱路由登录到他们提供的数据恢复网站,根据不同的用户情况,黑客的开价也不同
感染方式受感染的电子邮件附件(宏)、恶意广告、漏洞利用、恶意链接
受灾影响大部分文件(不包括exe dll等文件,与重要系统文件)都经过加密,如果不支付赎金无法打开。黑客声称拿到了电脑内的重要数据,若不支付赎金则会在黑客的blog上公开

3.2加密前后对比

加密后

图片

解密后

图片

加密前

图片

图片

加密后

图片

图片

3.3 详细分析

详情可见:【病毒分析】mallox家族rmallox变种加密器分析报告

4.解密恢复

Solar团队安排工程师去到客户现场,线下协助客户进行勒索病毒解密恢复,最终成功解密和恢复了被加密的数据文件,同时还对客户的网络安全情况做了全面的评估,并提供了相应的解决方法和建设思路,获得了客户的高度好评。

解密前

图片

解密后

图片

5.后门排查

完成解密后,Solar团队使用专用后门排查工具对客户服务器的自启动项、计划任务、可疑网络连接、账号密码强度、可疑进程等项目进行了排查,将遗留后门全部清除。并对隐患项提出了安全加固建议,确保不存在遗留后门,并对服务器进行快照及备份处理。下表为安全加固排查总表:

图片

图中信息均已脱敏处理

6.渗透测试

本次渗透测试经客户授权前提下操作

图片

图片

6.1 渗透测试结果

本次渗透测试目标为:

本次渗透测试共发现3个漏洞(0day),其中2个高危,1个中危,漏洞类型包括:SQL注入漏洞、任意文件上传漏洞、未授权访问

图片

6.2 修复建议

  1. 对路径的访问增加鉴权:

    1. 确保只有授权用户或系统可以访问该路径,可以通过设置文件系统权限、网络访问控制列表(ACL)等方式限制访问权限。

    2. 使用身份验证和授权机制,如用户名密码、令牌、证书等来验证用户身份,并授予适当的访问权限。

    3. 实施多层次的安全措施,如使用防火墙、网络隔离、VPN等来保护路径免受未经授权的访问。

  2. 对敏感字符进行过滤:

    1. 在接收用户输入或处理数据时,应该对敏感字符进行过滤和清理,以防止恶意代码注入、跨站脚本攻击等安全威胁。

    2. 使用白名单过滤机制,只允许特定的字符或格式通过,而拒绝其他不符合规范的输入。

    3. 考虑使用安全编码库或框架来处理用户输入,确保对敏感字符的过滤和转义操作是正确且完整的。

  3. 对上传文件格式、内容进行过滤:

    1. 在接收用户上传的文件时,应该检查文件格式、内容是否符合预期,并进行必要的验证和过滤。

    2. 限制允许上传的文件类型和大小,避免恶意文件上传和执行,例如通过文件扩展名、MIME 类型等进行验证。

    3. 对上传的文件进行安全扫描和检测,确保文件不包含恶意代码、病毒等危险内容。

7.团队介绍

        solar团队数年深耕勒索解密与数据恢复领域,在勒索解密和数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。团队也先后通过了ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系 、ITSS(信息技术服务运行维护标准四级)以及国家信息安全漏洞库(CNNVD)技术支撑单位等认证,已构建了网络安全行业合格的资质体系。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/785198.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

深度剖析:计算机集群在大数据体系中的关键角色和技术要点

什么是计算机集群? 计算机集群是一组相互连接的计算机(服务器),它们协同工作以完成共同的任务。集群中的每个计算机节点都可以独立运行,但它们通过网络连接在一起,以实现更高的可靠性、性能和可扩展性。 典…

多图详细教你注册Google(Gmail)新账号,常见问题和注意事项

对于做外贸,或者需要和外国客户、朋友沟通的小伙伴来说,一个Google账号(也就是Gmail账号,下述统一用Google账号来表述)是非常必要的,一方面是通过Gmail邮箱收发邮件、沟通往来,另一个方面是很多…

3.29 文章翻译RO——Robust scheduling of building energy system under uncertainty

highlight 我们建立了一个带有冷却器和冰热能储存的建筑能源系统模型。 提出了一种两阶段鲁棒策略来调度系统运行。 具有适当参数的鲁棒策略优于确定性方法。 鲁棒策略和MPC方法的性能相似。 本文提出了一种鲁棒调度策略,用于在预测不确定的情况下管理具有太阳能发电…

[计算机毕业设计]基于SSM的宠物管理系统-介绍及文章指导

🎉**欢迎来到琛哥的技术世界!**🎉 📘 博主小档案: 琛哥,一名来自世界500强的资深程序猿,毕业于国内知名985高校。 🔧 技术专长: 琛哥在深度学习任务中展现出卓越的能力&a…

【Git项目部署到本地仓库】

1. 下载安装Git 根据您的操作系统,访问Git的官方网站:https://git-scm.com/download/win 具体安装教程请访问其他博客,例如:http://t.csdnimg.cn/I28VO 安装完成后,您可以通过在winR键输入cmd打开命令行输入 git -…

服务器设置了端口映射之后外网还是访问不了服务器

目录 排查思路参考: 1、确认服务是否在运行 2、确认端口映射设置是否正确 3、使用防火墙测试到服务器的连通性 4、检查服务内部的配置 5、解决办法 6、学习小分享 我们在一个完整的网络数据存储服务系统设备中都会存有业务服务器、防火墙、交换机、路由器&a…

实现一个Google身份验证代替短信验证

最近才知道公司还在做国外的业务,要实现一个登陆辅助验证系统。咱们国内是用手机短信做验证,当然 这个google身份验证只是一个辅助验证登陆方式。看一下演示 看到了嘛。 手机下载一个谷歌身份验证器就可以 。 谷歌身份验证器,我本身是一个基…

[springboot源码探索]返回值处理

[springboot源码探索]返回值处理 开始处理返回值 public class ServletInvocableHandlerMethod extends InvocableHandlerMethod {// ...// 返回值处理器组(组合模式,可以理解为一组返回值处理器)private HandlerMethodReturnValueHandlerComposite returnValueHandlers;publ…

C++11标准 - 声明(auto,decltype,nullptr)

C11标准 - 声明(auto,decltype,nullptr) 前言1. auto2. decltype3. nullptr 前言 c11提供了多种简化声明的方式,尤其是在使用模板时。 1. auto 在C98中auto是一个存储类型的说明符,表明变量是局部自动存…

ChatGPT实体化了!手机变身ChatGPT实体机器人,只需一个配件,能说话还会做梦,真的牛!

你有没有想过,如果有一天ChatGPT有了身体,跑到你办公桌上成了你的宠物,这是个多么有趣的场景,LOOI就是这样一款把幻想带进现实的产品 不得不说,ChatGPT让具身智能达到了新高度,LOOI便应运而生。 分享几个网…

什么是HTTP? HTTP 和 HTTPS 的区别?

文章目录 一、HTTP二、HTTPS三、区别参考文献 一、HTTP HTTP (HyperText Transfer Protocol),即超文本运输协议,是实现网络通信的一种规范 在计算机和网络世界有,存在不同的协议,如广播协议、寻址协议、路由协议等等… 而HTTP是…

聊聊低代码产品的应用场景

随着数字化转型的不断深入,企业对于快速开发和迭代软件应用的需求也越来越迫切。而在这样的背景下,低代码产品应运而生,成为了一种热门的技术解决方案。本文将解读低代码产品的定义并探讨其应用场景。 一、低代码产品的定义 低代码产品是一种…

DFS(基础,回溯,剪枝,记忆化)搜索

DFS基础 DFS(深度优先搜索) 基于递归求解问题,而针对搜索的过程 对于问题的介入状态叫初始状态,要求的状态叫目标状态 这里的搜索就是对实时产生的状态进行分析检测,直到得到一个目标状态或符合要求的最佳状态为止。对于实时产生新的状态…

Linux系统Docker如何部署Nextcloud结合内网穿透实现公网访问本地资源?

文章目录 1. 安装Docker2. 使用Docker拉取Nextcloud镜像3. 创建并启动Nextcloud容器4. 本地连接测试5. 公网远程访问本地Nextcloud容器5.1 内网穿透工具安装5.2 创建远程连接公网地址5.3 使用固定公网地址远程访问 本文主要介绍如何在Linux Ubuntu系统使用Docker快速部署Nextcl…

Html提高——视频标签音频标签及其相关属性

HTML5 在不使用插件的情况下&#xff0c;也可以原生的支持音视频格式文件的播放&#xff0c;当然&#xff0c;支持的格式是有限的。 1、video标签 1.1、video标签的语法 <video src"文件地址" controls"controls"></video> video标签的内部…

接口自动化框架Pytest —— 配置文件pytest.ini的详细使用

前言 我们在执行用例的时候&#xff0c;每次都在命令行中输入-v&#xff0c;-s等一些命令行参数的时&#xff0c;比较麻烦。其中pytest.ini这个配置文件可以快速的帮助我们解决这个问题。 配置文件 pytest.ini文件是pytest的主配置文件&#xff0c;可以改变pytest的运行方式…

【python】pip清华大学镜像

1、修改pip源为清华源&#xff1a; pip config set global.index-url https://pypi.tuna.tsinghua.edu.cn/simple2、结果是自动给我创建了一个文件&#xff1a; 3、打开这个文件所在的文件夹&#xff1a; 4、打开文件&#xff1a; 5、如果不想指定清华的&#xff0c;就删掉…

提升K8S故障排除效率:详解Pod内抓包的高效策略!

在Kubernetes环境中&#xff0c;故障排除是管理者日常工作中不可或缺的一部分。随着容器化应用的广泛采用&#xff0c;需要一种高效的方法来诊断和解决Pod内部的问题。本文将重点介绍如何利用抓包技术提升Kubernetes环境中Pod内部故障排除的效率。 为什么需要Pod内抓包 在Kube…

【MySQL】DQL-案例练习-DQL基本介绍&语法&执行顺序(代码演示)

前言 大家好吖&#xff0c;欢迎来到 YY 滴MySQL系列 &#xff0c;热烈欢迎&#xff01; 本章主要内容面向接触过C Linux的老铁 主要内容含&#xff1a; 欢迎订阅 YY滴C专栏&#xff01;更多干货持续更新&#xff01;以下是传送门&#xff01; YY的《C》专栏YY的《C11》专栏YY的…

Baidu Comate

Baidu Comate 他来了 描述功能支持的编程语言支持的 IDE支持的操作系统IDEA安装操作 描述 智能代码助手&#xff0c;其实就是写代码的辅助工具&#xff0c;可以很大程度的帮你提升编码效率&#xff0c;作为一个白嫖党&#xff0c;我觉得这个还可以。 功能 注释生成代码、增强…