99操在线视频,免费成人先锋影音中出片,WWW.撸一,人妻懂色av粉嫩av浪潮av,国产老妇乱伦,五月丁香中文,国产综合视频播放,亚欧精品久久

勒索病毒，是一種新型電腦病毒，主要以郵件/網(wǎng)頁(yè)釣魚(yú)、rdp爆破密碼、操作系統(tǒng)/應(yīng)用程序安全漏洞的形式進(jìn)行傳播。該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶(hù)帶來(lái)無(wú)法估量的損失。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密，被感染者一般無(wú)法解密，必須拿到解密的私鑰才有可能破解。

前些天收到某個(gè)酒店服務(wù)器被勒索病毒鏡像，客戶(hù)希望能對(duì)攻擊行為進(jìn)行溯源為下一步偵察提供線索。

搜集基本信息

0 1
首先使用火眼證據(jù)分析加載鏡像全部任務(wù)一把梭：

從上圖可以得到如下操作系統(tǒng)基本信息：這是一臺(tái)windows服務(wù)器，操作系統(tǒng)版本為64位Windows Server 2019 Datacenter，安裝時(shí)間2022-11-07 18:37:22。根據(jù)注冊(cè)組織為 Baidu Inc. 可以推測(cè)這是一臺(tái)百度云BCC服務(wù)器，大概率有獨(dú)立公網(wǎng)ip(后經(jīng)客戶(hù)證實(shí)確實(shí)如此)。根據(jù)工作組為 WORKGROUP可知該機(jī)器未加入任何企業(yè)域。

看完操作信息再看用戶(hù)信息：

從火眼用戶(hù)信息頁(yè)面可以得到信息：該操作系統(tǒng)有7個(gè)賬戶(hù)，真正賬戶(hù)有效的只有Administrator賬戶(hù)。從登錄錯(cuò)誤次數(shù)為7105次可以看出該賬戶(hù)經(jīng)歷了不少次密碼爆破的攻擊。

因?yàn)檫@是一臺(tái)帶獨(dú)立公網(wǎng)ip的windows服務(wù)器，所以需要額外關(guān)注一下遠(yuǎn)程桌面中遠(yuǎn)程連接過(guò)本機(jī)的記錄：

當(dāng)我看到上圖時(shí)發(fā)現(xiàn)2個(gè)問(wèn)題： 1. 同一天出現(xiàn)了多個(gè)不同ip登錄本機(jī)的記錄，比如2022年11月11日19:40后短短幾個(gè)小時(shí)就有4個(gè)不同ip多次遠(yuǎn)程桌面登錄該機(jī)器，這個(gè)不是一個(gè)正常的windows服務(wù)器應(yīng)該表現(xiàn)出來(lái)的行為。 2.系統(tǒng)安裝時(shí)間是2022-11-07 18:37:22，那么介于系統(tǒng)安裝時(shí)間到2022年11月11日19:40這段時(shí)間遠(yuǎn)程桌面登錄記錄去哪了呢？要么是管理員沒(méi)有登錄過(guò)，要么就是登錄記錄被通過(guò)某種方法清理掉了。

運(yùn)行火眼證據(jù)分析的耗時(shí)任務(wù)中事件日志恢復(fù)任務(wù)，希望能得到更多的信息。

從上圖發(fā)現(xiàn)在2022年11月10日11點(diǎn)24分24秒時(shí)有一臺(tái)114.67.57.57的ip成功登錄了該設(shè)備。由此可以得出結(jié)論，從系統(tǒng)安裝時(shí)間到2022年11月11日19:40這段時(shí)間其實(shí)有過(guò)登陸記錄，只是被未知原因刪掉了。

仿真動(dòng)態(tài)分析

通過(guò)火眼證據(jù)分析的靜態(tài)分析后，嘗試使用火眼仿真動(dòng)態(tài)分析。

直接在火眼仿真中加載鏡像創(chuàng)建虛擬機(jī)，火眼仿真可以自動(dòng)繞過(guò)密碼：

仿真成功后啟動(dòng)虛擬機(jī)看到桌面：

在桌面發(fā)現(xiàn)一個(gè)勒索信info.txt，文件中說(shuō)希望解密文件請(qǐng)與指定郵件溝通。

同時(shí)桌面很多文件的擴(kuò)展名變?yōu)?.id[A68F9F33-3327].[[email protected]].Devos

追蹤勒索病毒運(yùn)行時(shí)間

03
以 devos為擴(kuò)展名在火眼文件頁(yè)全盤(pán)搜索文件并且以最后修改時(shí)間排序：

通過(guò)對(duì)加密文件的最后修改時(shí)間進(jìn)行排序，我們可以定位出勒索病毒的運(yùn)行時(shí)間。從上圖可知，勒索病毒加密文件開(kāi)始于2022-11-12 01:05:45，然后對(duì)最后修改時(shí)間倒排序可知其結(jié)束于2022-11-12 01:06:07。

結(jié)合之前分析的遠(yuǎn)程連接過(guò)本機(jī)記錄，可以初步把嫌疑人的ip判定為 xxx.xx.242.44.因?yàn)檫@個(gè)ip的成功連接時(shí)間為 2022-11-11 23:35:50，斷開(kāi)連接時(shí)間為2022-11-12 01:06:23。其活動(dòng)時(shí)間可以覆蓋第一個(gè)加密文件出現(xiàn)的時(shí)間。

回溯嫌疑人操作行為

04
分析至此，我們懷疑嫌疑人遠(yuǎn)程桌面登錄該設(shè)備并運(yùn)行了勒索病毒進(jìn)行加密文件，那么到底是不是這樣呢？嫌疑人登錄的這段時(shí)間到底發(fā)生了什么事情呢？這時(shí)候就要看火眼證據(jù)分析的時(shí)間線功能了。為了縮小研究時(shí)間范圍，我們將火眼證據(jù)分析中時(shí)間線的起始時(shí)間設(shè)置為2022-11-11 00:00:00，結(jié)束時(shí)間設(shè)置為 2022-11-13 00:00:00。

順著時(shí)間線往下翻，發(fā)現(xiàn)一個(gè)有意思的事情：

2022年11月11日16點(diǎn)58分37秒時(shí)運(yùn)行了ClearLocalRDP.exe，我嘗試在本機(jī)或者百度，google，GitHub均未找到ClearLocalRDP.exe相關(guān)信息。根據(jù)時(shí)間線顯示，運(yùn)行完該應(yīng)用程序后，大量(不是全部)的事件日志文件創(chuàng)建時(shí)間被重置為了當(dāng)前時(shí)間，那基本上從這個(gè)時(shí)間點(diǎn)之前的很多事件日志記錄就丟失了。

順著時(shí)間線繼續(xù)向下翻，當(dāng)進(jìn)入到嫌疑人ip登錄成功后的時(shí)間范圍時(shí)，程序運(yùn)行記錄就開(kāi)始變得頻繁，比如下圖中出現(xiàn)的dControl.exe

從序號(hào) 3 624 可以看出嫌疑人運(yùn)行了 C:\Users\Administrator\Music\dControl.exe。從序號(hào)3625可以看出系統(tǒng)創(chuàng)建了 C:\Users\Administrator\Music\dControl文件夾。從序號(hào)3629可以看出嫌疑人在windows資源管理器中進(jìn)入了C:\Users\Administrator\Music\dControl文件夾。從序號(hào)3630可以看出嫌疑人又運(yùn)行了 C:\Users\Administrator\Music\dControl\dControl.exe。

從行為看，外層的dControl.exe更像是一個(gè)自解壓exe，運(yùn)行后釋放真正的dControl.exe。因?yàn)槲艺娴脑跈z材中發(fā)現(xiàn)一個(gè)使用7z SFX制作的自解壓dControl.exe。

那么這個(gè) dControl 到底是個(gè)什么東西呢？以dControl.exe為關(guān)鍵詞在百度搜索，第一篇的標(biāo)題就是《Windows 11 徹底關(guān)閉 Windows Defender 降低內(nèi)存占用，殺掉 Antimalware Service Executable 進(jìn)程》

順著時(shí)間線繼續(xù)往下翻，可以看到 windows defender服務(wù)被干掉了

禁用完殺毒軟件下面可以開(kāi)始干正事了，于是又看到了一連串的的程序運(yùn)行記錄

嫌疑人首先運(yùn)行了lolx.exe得到了lolx文件夾，進(jìn)入lolx文件夾后依次運(yùn)行了nasp.exe和111.exe，其中111.exe生成了111文件夾，嫌疑人進(jìn)入111目錄后運(yùn)行了KPortScan3.exe。我在虛擬機(jī)里運(yùn)行了一下nasp.exe和KPortScan3.exe,截圖如下：

Nasp.exe和KPortScan3.exe都是端口掃描工具，可以用來(lái)掃描3389端口發(fā)現(xiàn)更多肉雞。時(shí)間走到了夜深人靜的凌晨1點(diǎn)05分，嫌疑人開(kāi)始運(yùn)行下一個(gè)應(yīng)用程序：

從時(shí)間線看，嫌疑人首先運(yùn)行了 kill .exe ，緊接著 kill 文件夾、 NS-v2.exe 文件和 fast .exe 文件被創(chuàng)建。緊接著嫌疑人使用資源管理器進(jìn)入 kill 文件夾，依次執(zhí)行了 N S- v2 .exe 和 P CH unter 64.exe 。 N S-v2.exe 是一個(gè)進(jìn)行局域網(wǎng)共享文件掃描，有助于擴(kuò)散文件的加密范圍。 PC Hunter 是一款功能強(qiáng)大的 Windows 系統(tǒng)信息查看軟件，同時(shí)也是一款強(qiáng)大的手工殺毒軟件。
在2022年11月12日1點(diǎn)06分03秒發(fā)現(xiàn)fast.exe運(yùn)行，這是勒索病毒程序。

需要特殊說(shuō)明的是該記錄是最后一次運(yùn)行時(shí)間，不是第一次運(yùn)行時(shí)間。fast.exe在運(yùn)行過(guò)程中不斷fork自身作為子進(jìn)程，所以導(dǎo)致取證軟件無(wú)法判斷fast.exe的第一次運(yùn)行時(shí)間。

其實(shí)從第二步使用火眼仿真查看加密文件后綴時(shí)就可以發(fā)現(xiàn)，這是一個(gè)經(jīng)典的Devos勒索病毒。Devos勒索病毒隸屬于Phobos勒索病毒家族的一種，文件特征：** {原文件名}.ID-<8字符>.<Email>.后綴Phobos:變種：.Devos .Eking . Harma .makop 等等** 一般為郵箱加隨機(jī)字符加后綴。網(wǎng)上從安全防范的角度針對(duì)devos病毒分析已經(jīng)很多，本文嘗試從取證視角看一個(gè)勒索病毒案例，使用靜態(tài)分析和動(dòng)態(tài)分析方法盡可能的還原嫌疑人的攻擊行為。供稿：Spring
編輯排版：Yvonne
審核：Spring

技術(shù)分享 | 取證視角下的勒索病毒溯源