接到反应某企业绿盟平台一直报警,当天发现服务器IP地址为192.168.xx.xx 的一天有上千条报警。针对这种情况,进行了分析并进行了处理。
一、绿盟安全管理平台报警
平台检测到某服务器有远程命令执行漏洞、挖矿行为等异常行为。平台目前最早记录为 2024-0x-0x。到9月2号有超十万次报警行为。
二、扫描分析
使用端口扫描工具对受害服务器进行扫描,发现有如下开放端口,访问该系统80xx端口,确定是某系统相关服务器。弱口令爆破尝试,发现mysql 存在弱口令并成功连接,存在敏感数据8000余条。
三、处理
首先根据网段确定某子公司的服务器。联系人员确认该系统没重要影响,可以断网,针对该服务器首先进行了断网。
去公司排查,检测到该服务器确实存在 CPU 100% 异常行为。对可疑文件拷贝,并排查了影子账号、windows 事件日志、计划任务。经过分析确认该服务器存在文件“bHcSLsN.exe”是木马病毒;并且下载木马的计划任务。根据该病毒感染情况杀毒处理、去掉后门、感染文件、影子账号、计划任务。
针对木马文件bHcSLsN.exe,分析有多款杀毒软件报毒:
使用360沙箱云,分析该病毒存在多个恶意危险行为。
四、可能原因分析
由于中病毒事件较远,windows 事件日志、绿盟平台没有最早记录,从计划任务分析最早时间是2021.0x.xx。根据通信的域名可以t.zz3r0.com 发现是永恒之蓝下载器木马。该木马利用渠道:
| 漏洞扫描及利用 | 弱口令爆破 |
|---|---|
| MS17-010漏洞利用 | RDP爆破 |
| Lnk漏洞(CVE-2017-8464)利用 | SMB爆破 |
| SMBGhost漏洞(CVE-2020-0796)利用 | MSSQL爆破 |
| SSH爆破 | |
| Redis爆破 |
- 从上述可以推断大致感染渠道:
- 使用带木马病毒的激活工具;
- 使用了“驱动人生”软件;
- 根据服务器远程桌面、mysql弱口令扫描,然后提权侵入系统;
- 第三方软件公司安全意识差,开放了不必要端口,并使用了弱密码;
- 根据服务器远程桌面、mysql弱口令扫描,然后提权侵入系统。
五、防范
- 利用好安全态势感知平台,针对该木马病毒远程连接的相关IP排查是否有类似的感染;
- 加强服务器系统安全管理,禁止系统、软件使用弱口令;减少不必要的开放端口;定期升级补丁;
- 培训人员安装系统时,做好防病毒工作;
- 加强对外来厂商软件的安全审核。
六、参考
驱动人生挖矿木马分析与处置:https://blog.csdn.net/beichenyyds/article/details/135521352
360云沙箱:https://ata.360.net/
