【应急响应】某政府单位安全应急支援纪实
发布时间:2017-11-28   作者:启明星辰

概述

 

2017年11月7日,某政府单位的某区域全网主机设备蓝屏不可用,相关业务全部中断。北斗服务团队在开展应急响应的过程中通过对网络连接、进程和文件进行综合分析,确认环境中已经感染Wannacry病毒,并紧急制定解决方案,执行处置方案后,所有业务于当日夜里恢复。


应急响应

 

2017年11月7日早,某政府单位某区域全网主机设备蓝屏不可用,相关业务全部中断,由于中断业务为重要业务,影响重大,客户在这种情况下向启明星辰请求协助,泰合北斗服务团队经过初步了解情况后应急出动赶赴现场。因出现大面积业务中断,客户已启动一级应急响应预案,并采取应急措施,所有设备离线。

 

1 初入现场

北斗服务团队火速赶到现场后,快速了解客户的网络环境、部署结构和相关的其他基础信息。

 

在事发区域内,所有办公终端均蓝屏。
 

2  一探究竟

 

因为客户采取应急措施,影响范围没有继续扩大。同时获悉到除存储系统幸免外,“中招”设备均使用windows平台,包括物理机和虚拟化桌面。选取一台设备展开调查,在系统启动后,发现设备中存在进程在不停的连接其他IP地址445端口。
 


在10月29日金睛团队《金睛安全播报NO.011》一文中写道“内网出现大面积蓝屏,多是wannacry变种病毒搞的鬼”。
 


结合当前状况,猜测可能与该病毒相关。通过查找发现发起对445端口连接进程名称和文件为均为“mssecsvc.exe”,而该文件为5月份“永恒之蓝”的主程序文件。另外发现tasksche.exe文件(永恒之蓝执行程序),确认网络中已经感染Wannacry病毒。
 

图片来源(http://www.antiy.com/response/wannacry.html)


 
 

主程序在运行后释放的tasksche.exe文件和qeriuwjhrf文件如下。
 


在注册表中的参数如下。

 

 


3 研讨方案

 

经了解,所有windows平台均没有及时安装补丁程序,最新补丁程序安装时间为2016年。鉴于此情况,北斗团队建议客户采取以下措施:

 

● 安装ms17-010系统补丁,虚拟化平台可以重新下发桌面系统模版,物理机手动修复,执行补丁安装流程。

● 使用景云专杀工具对病毒进行查杀。

● 重启系统后1小时后再使用专杀工具执行查杀,确认查杀是否有效。

 

该方案经过测试后证实有效,随即展开正式修复工作,全部修复工作于当夜完成。

 

4 寻找根源

 

在客户依照解决方案展开执行过程中,北斗服务团队同时协助客户开始调查病毒入侵途径。经调研了解,在事发前一天,有未经过安全检查外部PC设备临时接入到网络中2分钟左右,北斗将该设备列为病毒可疑来源(内网环境中接入控制系统未完成实施,导致无设备接入审计记录)。在对可疑设备进行调查之前,该设备已经进行过病毒查杀。但在历史查杀日志中发现对mssecsvc.exe的查杀记录。确定该次病毒来源为此外部PC。
 

 

总结

 

在此次应急支援中,客户的应急预案有效遏制了感染范围的进一步扩散。出具解决方案时,须查明事发原因和方式,对症下药,杜绝事态扩大。此外,要及时关注高危漏洞通告,加强漏洞管理执行。内部网络接入控制必须严格按照管理规范执行,增加技术控制手段,防止未知安全内容进入网络环境中。部署安全防护系统,及时发现阻断恶意程序传播。

 

本次出现的安全问题,由于缺少集中化日志监控分析平台,未能及时发现违规接入、病毒感染、内网传播的安全威胁行为。类似这样的案例可以通过部署泰合安全管理平台(TSOC),做到事前预警,事中通知和事后调查。安全管理平台通过采集网络环境中检测设备,操作系统,应用程序,网络设备,中间件,数据库日志,并格式化为统一数据结构,利用综合关联对网络运行环境中的可疑事件进行实时监测,将不可见的潜在或者已存在的安全威胁直观展现出来,提升安全运维能力。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备11010802024551号