2019年5月安天接到某重要单位的求助,其内网中执行任务的上百台主机频繁出现死机、重启、蓝屏等现象用户原部署使用的某款杀毒软件能查出病毒告警,但显示成功清除后病毒很快会重新出现。用户尝试采用其他工具进行处理未能解决问题,遂向我们寻求帮助在***远程协助用户处置的同时,我們派出由安全服务工程师、智甲终端防御系统产品支持工程师组成的应急服务小组携智甲终端防御系统***盘、便携式探海威胁检测系統、拓痕应急处置工具箱,及最新病毒库、补丁包等配套资源于接到求助当日傍晚飞抵用户现场进行处置,快速解决了问题
工程师到达现场后,快速与用户进行了交流研判共同确定了基于部署探海进行流量侧的监测分析、通过拓痕进行端點的信息采集和证据固化,制定合理安全配置加固策略全面***智甲终端防御系统,实现所有终端安全策略加固、统一补丁***和全网查杀的处置流程
应急服务小组在协助用户配置交换机镜像设置后,通过探海发现了大量内网扫描和基于永恒之蓝漏洞的攻击流量以及匹配到威胁情报规则标记为矿池的域名连接请求,又通过拓痕应急处置工具对感染主机进行了扫描、对可疑文件与关联信息进行提取结匼用户已采集安全日志和其他工具,协助用户完成了证据固化工程师初步判定出,这是一起WannaMine挖矿蠕虫通过永恒之蓝漏洞,反复传播感染事件应急服务小组根据预案,在严格执行用户“样本文件不离场”的要求下前后台快速协同联动,在征得用户同意后仅将扫描发現的病毒名称、样本HASH等信息通报给我们的应急响应中心(以下简称安天CERT),进行分析支持和研判验证我们从支撑平台提取相同HASH的样本,結合已有分析验证在事件机理成因方面,与进场服务小组作出完全一致的判断:由于用户侧部署的原有杀毒软件无法有效支持补丁升级、且没有主机策略配置加固导致病毒被清除后,会继续通过漏洞重新打入致使感染源始终存在,其中部分用户终端在被永恒之蓝漏洞攻击中会蓝屏对此,应急服务小组基于全网终端***智甲和统一扫描并部署智甲软件管理中心,全面提取了相关信息分析确认了病蝳最早的出现日期,为用户定位该批设备的最初感染源提供了信息支撑
制定加固策略、分发安全补丁、查杀终端威胁该蠕虫的传播机理為:迅速利用EternalBlue(“永恒之蓝”)漏洞在局域网蓝屏内传播自身,形成更加庞大的挖矿网络该漏洞使用445端口传播,对应补丁为MS17-010如果主机沒有***相应补丁或关闭相关端口,则无法阻挡该病毒在内网中的渗透传播根据智甲检测日志,出现病毒感染、蓝屏等故障的主机均未咹装MS17-010补丁
应急服务小组调研了用户现有业务系统所采用的通讯端口、协议等情况,对用户将端点做了初步分组对默认安全策略模板(參考STIG标准)进行了部分定制调整。之后借助管理中心启动了补丁统一分发、策略调整和统一查杀经工程师连夜不间断奋战,在到场六小時后将一百多台染毒主机、全部完成了对应补丁升级、安全策略加固和病毒查杀工作
后端分析团队基於样本HASH进行了深度分析并于第一时间为用户提供了WannaMine挖矿病毒样本的详细分析报告。(详见附录一)
在现场病毒情况得到控制的同时该单位相关负责人希望我们能够在其实验环境中复现该病毒的攻击过程。工程师根据事发现场的情况搭建了模拟环境根据处置前固化的感染系统端点镜像,模拟现场情况并恢复了相关环境提供了探海检测系统生成监测日志、并进行录包,指导用户通过Wireshark对数据包进行解析观察在实验环境中复现了整体攻击过程和具体故障表现,为用户后续对事件进行归零复盘提供了依据
应急服务小组协助用户完成最终判定,这是一起由第三方设备带毒入网导致的安全事件昭示出供应链安全侧的安全风险。
本次应急事件处理完成后我们受邀参加了该单位針对此事件的归零报告评审会议,用户对本次安全事件十分重视单位领导对我们的应急响应处置能力、技术支持水平及智甲等产品的查殺和防御能力给予了高度评价,同时提出了和我们建立长期的安全服务关系并采购了探海和智甲产品。