暴力破解介绍
1、原理说明
暴力破解即账号枚举,攻击者使用自己的用户名和密码字典,对目的服务器进行一个一个尝试登陆,主要字典足够强大,肯定就会猜解成功。尝试爆破成功后,为攻击者下一步渗透做准备。
2、危害说明
目的主机账号猜解成功后,攻击通常利用该账号做如下操作:
1、攻击者通过泄露账户非法登录主机,盗取用户数据;
2、攻击者通过泄露账户非法登录主机,注入病毒程序,执行挖矿或勒索,如gobleImposter勒索病毒、飞客蠕虫;
3、攻击者通过泄露账户非法登录主机,作为跳板机攻击其他主机;
3、处置建议
安全感知平台检测到暴力破解,主要是某主机对其他主机发起了暴力破解的流量,同时被我们安全事件捕捉到;
1、病毒确认
注:以下两个任何已确认OK,可以不用确认另外步骤;
A. 网络流量抓包确认
如某目的主机正在进行暴力破解,可以通过在探针对接镜像口进行抓包进行分析;对应爆破安全事件抓包端口如下:
SMB爆破
B. 目的主机确认
根据安全感知设备检测到暴力破解日志详情,登录受害者主机,根据安全设备提示的爆破时间点,查看操作日志,是否存在大量账号登录失败的情况;
默认情况下Windows Server并未开启审核功能,打开详细步骤请查:https://jingyan.baidu.com/article/219f4bf7d01887de452d3849.html
【开始】→【运行】→输入 eventvwr.msc
搜索事件ID:4625,过滤的登录失败的日志;
2、病毒查杀
(1)确认主机异常进程
定位到主机的IP后,需要登录到系统上确认是哪一个进程进行了发包数据,从抓到的数据包里面可以看到源数据包的主机地址与端口。在主机上根据端口地址,找到是哪一个进程进行了发包的操作。
建议使用ProcessHacker可查看所有进程信息,包括进程加载的dll、进程打开的文件、进程读写的注册表等等,也可以将特定进程的内存空间Dump到本地,此外还可以查看网络连接。工具截图如下:
根据源端口,使用工具Process Hacker可以获取到进程名与PID。
同时也可以使用netstat命名查看当前关于445端口与139端口的进程或者其他端口
(2)进程检查
需要重点观察进程、与进程本身的路径、签名MD5等属性
找到源文件的exe程序体,关注其路径与签名等信息。
同时可以将此文件或者md5数值上传到https://www.virustotal.com/进行查询,进一步确认其危险性。
3、清理程序
由于爆破只是主机对外表现异常行为,而并不清楚问题主机是哪一种病毒引发的爆破行为,同时有些流行病毒家族,通常对杀软有抑制性,或者本身有感染性,需要专杀工具去查杀和修复正常文件,这里不展开讲专杀工具,以下仅列出有专杀工具的流行病毒列表(建议依次使用以下杀软进行查杀):
EDR通用扫描工具 (深信服EDR
飞客蠕虫专杀工具(http://edr.sangfor.com.cn/tool/Kidokiller.zip)
Ramnit专杀工具 (http://sec.sangfor.com.cn/download/index?file=FxRamnit.exe)
Sality专杀工具 (http://sec.sangfor.com.cn/download/index?file=SalityKiller.exe)
Virut专杀工具 (http://sec.sangfor.com.cn/download/index?file=VirutKiller.exe)
Zeus专杀工具 (http://sec.sangfor.com.cn/download/index?file=ZbotKiller.exe)
Parite专杀工具 (http://sec.sangfor.com.cn/download/index?file=avast.bat)
Spybot专杀工具 (http://sec.sangfor.com.cn/download/index?file=FixSpybot.exe)
EmsisoftEmergencyKit:第三方公司Emsisoft提供的本地查杀工具
(http://sec.sangfor.com.cn/download/index?file=EmsisoftEmergencyKit.exe)
处置说明:
深信服安全感知平台只是通过流量发现该主机存在爆破行为,但无法准确分析出是该主机的业务异常触发的爆破行为,还是病毒行为。因此以上只是我们提供的常用病毒引发的暴力破解的查杀方法;而当遇到平台检测出爆破行为,但使用专杀工具无法查杀到病毒的情况时,建议做如下步骤排查:
1、确认最近是否该主机业务是否存在异常,如卡顿、数据传输异常等;
2、是否最近有调整过业务,导致业务异常;
3、如以上问题都不存在,请联系深信服安全服务工程师;
![Crysis勒索病毒中毒经历及漏洞查堵[勒索邮箱openpgp@foxmail.com]](https://img-blog.csdnimg.cn/20200615225309799.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3N1bjQ4MDI=,size_16,color_FFFFFF,t_70)
