查看本地用户,未发现异常:
打开任务管理器,发现可疑进程F.exe:
利用wmi查看进程信息,发现其位置在开始菜单启动项中:
C:\Users\gy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
同时,通过任务管理器,发现windows临时文件夹中也有该程序
通过测试可知F.exe为勒索病毒程序:
查看网络状态,除向日葵远控客户端外,未发现其余异常:
检查注册表,发现病毒文件被设置为开机启动
文件加密时间为20点29分
查看安全日志,发现从20点8分到32分有一串来自同网段kali(10.10.10.3)远程爆破记录
但并未发现爆破成功的日志(4624,类型3)
查看对应时间段应用日志,未发现远程桌面使用报告,但有大量跟系统安全相关的认证日志:
查看对应时间段系统日志,发现向日葵使用痕迹:
加密发生前五分钟,向日葵服务被安装
查看当天的向日葵日志:
发现在加密前五分钟启用了向日葵连接
发现向日葵RCE测试payload,攻击端为10.10.10.7,勒索病毒来源为10.10.10.3
总结:
攻击者先拿下了同网段的两台主机(10.10.10.3和10.10.10.7),先使用10.10.10.3对受害机(10.10.10.11)进行了爆破,未成功。然后通过端口扫描发现了受害机上的向日葵服务,并通过向日葵RCE控制受害主机下载并运行了存放在10.10.10.3上的勒索病毒。
版权归原作者 Canterlot 所有, 如有侵权,请联系我们删除。