今天臨近下班���,突然接到客戶電話,說他一個朋友公司服務(wù)器被勒索了���,讓我們幫忙看一下��。技術(shù)人員遠程連接到該服務(wù)器,這是一個很有代表性的情況:3��、使用財務(wù)軟件自帶的備份功能將數(shù)據(jù)庫進行了備份����,但備份文件在本硬盤的不同分區(qū)。4�、客戶的數(shù)據(jù)庫密碼就以明文方式存儲在桌面上。技術(shù)人員將日志導(dǎo)了出來�,進行分析�。通過分析找到了攻擊源和攻擊路徑�,黑客利用暢X通的漏洞���,對系統(tǒng)進行注入攻擊���,從遠程下載惡意程序后實施加密操作。注:以上幾個圖片是用AI分析的結(jié)果���。根據(jù)分析結(jié)果,技術(shù)人員在服務(wù)器上找到了黑客留下的惡意程序���。將該惡意程序上傳到卡巴斯基情報平臺,通過后臺歸因引擎和沙箱分析����,得知該病毒屬于MALLOX家族,平臺給出了該惡意程序的詳細報告�����,包括哈希值 �����、執(zhí)行時的具體動作�����,如修改的注冊表��、釋放的文件等����,以及各動作對應(yīng)在ATT&CK模型中所處的環(huán)節(jié)�。該惡意程序攻擊對象與ATT&CK模型的映射關(guān)系1��、網(wǎng)絡(luò)隔離�,暫時將該主機從網(wǎng)絡(luò)中隔離出來,在防火墻上限制黑客使用的幾個IP地址的訪問權(quán)限�����。
?2����、日志深度排查:檢查是否有成功返回200狀態(tài)的攻擊請求(如日志中部分請求返回200)。搜索服務(wù)器進程��、計劃任務(wù)中是否存在異常項(如sqlps、wscript.shell相關(guān)進程)3�、將分析出的惡意程序的IOC指標,在內(nèi)網(wǎng)進行威脅狩獵����,查找還有沒有其他的失陷主機。4���、修復(fù)漏洞。聯(lián)系財務(wù)軟件廠商����,升級至最新版本,修補已知漏洞��。對KeyInfoList.aspx和keyEdit.aspx接口實施嚴格的輸入過濾��,禁止特殊字符(如;��、exec)���。5���、部署專業(yè)防病毒和EDR產(chǎn)品�����,可以有效阻止病毒攻擊�����,并能在需要的時候進行事件溯源和損害評估���。6����、備份數(shù)一定不能放在本機。要遵循32110原則����,將備份數(shù)據(jù)放在不同的存儲位置����。7����、部署WAF(Web應(yīng)用防火墻)��,攔截SQL注入和命令注入攻擊。
閱讀原文:原文鏈接
該文章在 2025/5/27 16:19:42 編輯過
400 186 1886
