WannaCry应急排查思路
一、绪论:
WannaCry是一款基于NSA的永恒之蓝漏洞(SMB-MS17-010)类似蠕虫似传播的一款勒索软件(Ransomware)。一旦中招,该勒索病毒会对系统中的各种文件进行加密,比要求支付赎金进行解密。
对于该类勒索软件及其变种应急思路如下。
二、本机保护:
0、对于内网已有报警,但尚未感染或者开机的主机:拔掉网线后启动,备份重要数据,使用ACL限制135、139、445端口的入站,最好及时安装补丁。
1、如果本机安装有安全防护软件,限制了勒索软件的运行,则本机数据安全无虞,此时也不面临对外继续传播的风险的,需要做的就是继续排查攻击源。后面详细讲述排查攻击源的方法。
2、如果勒索软件已经开始运行,需要紧急做两件事:
(1)限制继续对外传播:首先netstat -an > result.txt 之后拔掉网线
(2)停止本机继续受到侵害:
感染后的三个阶段:
1、smb被爆,感染了wannacry,并连接固定url(54.153.0.145):http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com;连接成功停止运行,否则继续执行(防止虚拟机、沙箱分析)因为沙箱对不存在的域名请求也会解析。
2、释放了mssecsvc.exe,运行C:\WINDOWS\mssecsvc.exe -m security,参数小于2,所以安装并启动服务。然后释放tasksche.exe到C:\WINDOWS\下一\i参数启动(原来的tasksche.exe被移走)。
3、创建网络库和加密库(dll),初始化payload dll内存。进行磁盘加密并继续攻击其他主机。
注:wannacry的一些特征:
"""
1、大量的对外发送目的端口为445的报文,且目的IP不局限与内网、包含公网。
2、每个目的地址每次发送的报文并不多,大概2-4个
3、部分流量特征码:(16进制):
*5043204e4554574f*
00000054ff534d42720000000018012800000000000000000000000000002f4b0000c55e003100024c414e4d414e312e3000024c4d312e325830303200024e54204c414e4d414e20312e3000024e54204c4d20302e313200
"""
感染过程中需要及时杀毒:
拔掉网线、结束进程树、关闭服务、查杀病毒文件:
结束进程树:
"""
mssecsvc.exe
tasksche.exe
"""
关闭服务:
"""
Microsoft Security Center(2.0)Service
"""
查杀病毒软件
"""
md5值
tasksche.exe 8b2d830d0cf3ad16a547d5b23eca2c6e
mssecsvc.exe 854455f59776dc27d4934d8979fa7e86
qeriuwjhrf: 8b2d830d0cf3ad16a547d5b23eca2c6e (1)系统目录查看 文件一般位于系统盘下的windows目录,例如c:\windows\,通过命令提示符进入: cd c:\windows\ dir /od /a *.exe (2)全盘查找 dir /od /s /a tasksche.exe dir /od /s /a mssecsvc.exe """
三、局域网内主机保护
1.在内网策略中限制135、139、445端口。
2.在其他主机上脱机打补丁之后在连网。
3.将所有已被感染的未完成查杀和安全检测的主机隔离出内网。
4.对内网主机做安全加固(除关闭相应端口和打补丁之外,还需要安装防御和查杀病毒的软件)
四、攻击源追查
1、查看windows系统日志,确定中招时间:

2、查看该时段及其之前一段时间的安全日志登录,是否有非正常登录行为(重点可疑)
3、查看网络通信行为,记录最近一段时间的网络通信,关注针对该主机IP的445、139、135端口的通信。
WannaCry应急排查思路的更多相关文章
- windows应急响应入侵排查思路
0x00 前言 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解 ...
- Linux应急响应入侵排查思路
0x00 前言 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解 ...
- 6.【应急响应】Linux入侵排查思路
0x01 入侵排查思路 一.账号安全 基本使用: 1.用户信息文件/etc/passwd root:x:0:0:root:/root:/bin/bash account:password:UID:GI ...
- 1.Windows入侵排查思路
0x00 前言 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方 ...
- Mysql 高负载排查思路
Mysql 高负载排查思路 发现问题 top命令 查看服务器负载,发现 mysql竟然百分之两百的cpu,引起Mysql 负载这么高的原因,估计是索引问题和某些变态SQL语句. 排查思路 1. 确定高 ...
- 系统运行缓慢,CPU 100%,以及Full GC次数过多问题的排查思路
前言 处理过线上问题的同学基本上都会遇到系统突然运行缓慢,CPU 100%,以及Full GC次数过多的问题.当然,这些问题的最终导致的直观现象就是系统运行缓慢,并且有大量的报警. 本文主要针对系统运 ...
- RPC服务超时排查思路
RPC服务超时排查思路- 1.查看服务提供者日志相关信息进行排查- 2.查看消费者的超时时间设置是否合理- 3.查看服务提供者业务逻辑是否有DB操作,有的话看是否有慢SQL- 4.查看服务提供者业务逻 ...
- Java线上问题排查思路及Linux常用问题分析命令学习
前言 之前线上有过一两次OOM的问题,但是每次定位问题都有点手足无措的感觉,刚好利用星期天,以测试环境为模版来学习一下Linux常用的几个排查问题的命令. 也可以帮助自己在以后的工作中快速的排查线上问 ...
- Linux 服务器性能问题排查思路
一个基于 Linux 操作系统的服务器运行的同时,也会表征出各种各样参数信息.通常来说运维人员.系统管理员会对这些数据会极为敏感,但是这些参数对于开发者来说也十分重要,尤其当你的程序非正常工作的时候, ...
随机推荐
- oozie调度sqoop脚本时操作符号替换
oozie调度sqoop脚本时,sqoop中使用的sql查询语句,需要使用以下字符串替换操作符,否则会出现各种诡异的错误: //替换字符 < < Less than 小于 > > ...
- jquery-ajax-php(内容点赞并进行cookie限制实现)
1.模板页html例如以下: 2.模板页的jquery里的ajax实现例如以下: watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T ...
- volatile关键字的介绍和使用
关键字volatile的主要作用是使变量在过个线程中可见 1.假设volatile不存在我们将会面对的问题 public class PrintString implements Runnable { ...
- 几个Tab,滑动门,选项卡,图片切换
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/stri ...
- CSS边框-属性详解
图解CSS padding.margin.border属性 W3C组织建议把所有网页上的对像都放在一个盒(box)中,设计师可以通过创建定义来控制这个盒的属性,这些对像包括段落.列表.标题.图片以及层 ...
- 有2个表,结构相似,有一个字段关联,现在怎么把A表的数据添加到B表中,条件是A表不在B表的数据?? 请各位高手多多指点,是oracle的数据库
: insert into b(col1,col2 )select col1,col2 where not exists(select a.col1 from a where a.col1 = b.c ...
- imx6 spi分析
/************************************************************************** *本文主要跟踪imx6 spi设备和驱动的注册过 ...
- 多媒体开发之h264的三种字节流格式---annexb 哥伦布/mp4 以及还有一种rtp传输流格式
------------------------------------author:pkf ------------------------------------------time:2015-1 ...
- nodejs基础 -- 事件循环
Node.js 事件循环 Node.js 是单进程单线程应用程序,但是通过事件和回调支持并发,所以性能非常高. Node.js 的每一个 API 都是异步的,并作为一个独立线程运行,使用异步函数调用, ...
- MySQL无法重启问题解决Warning: World-writable config file ‘/etc/mysql/my.cnf’ is ignored
今天在修改mysql数据库的配置文件,由于方便操作,就将“/etc/mysql/my.cnf” 的权限设置成 “777” 了,然后进行修改,当修改完进行重启mysql的时候,却报错,提示Warning ...