JLSchaeffer2/incident-response-ransomware-investigation

# 事件响应调查：Web 应用攻陷、横向移动与勒索软件 ## 概述 本项目记录了一次全面的事件响应调查过程，涉及 Web 应用攻陷、凭证滥用、恶意软件执行以及跨多个系统的勒索软件部署。 调查始于指示可疑 Web 活动的高危告警，随后范围扩大至横向移动和大面积文件加密，这些行为均符合 Cerber 勒索软件的特征。 ## 目标 分析与还原完整的攻击链，识别失陷指标，确定影响范围与受损程度，并提供可操作的修复与检测改进建议。 ## 调查组成部分 ### 1. 分诊与初步分析 - 审查了指示异常 Web 流量的高危告警 - 识别出针对 Joomla 应用的潜在 Web 攻击 - 确定告警判定结果为 **真阳性** - 确立了攻陷的初始范围 ### 2. 攻击链分析 调查识别出完整的多阶段攻击： - 自动化漏洞扫描 - 暴力破解身份验证攻击 - 成功的管理员登录 - 恶意软件投递与执行 (3791.exe) - 基于 VBScript 的载荷获取 - 基于隐写术的勒索软件投递 (mhtr.jpg) - 通过 SMB 进行横向移动 - 跨共享系统的文件加密 ### 3. 受影响的系统 - Web 服务器：192.168.250.70 (Joomla 应用) - 工作站：192.168.250.100 (用户终端) - 文件服务器：192.168.250.20 (共享存储) ## 关键发现 ### 初始访问 - 目标：Joomla CMS 登录界面 - 方法：密码暴力破解攻击 - 确认破解成功的密码：`batman` - 观察到超过 **400 次不同的密码尝试** ### 恶意软件执行 - 恶意可执行文件：`3791.exe` - 认证成功后投递 - 在被攻陷的 Web 服务器上执行 ### 命令与控制 / 载荷投递 - 识别出的恶意域名： - prankglassinebracket.jumpingcrab.com - solidaritedeproximite.org - 勒索软件域名： - cerberhhyed5frqa.xmfir0.win ### 混淆技术 - 载荷伪装为图像文件 (`mhtr.jpg`) - 确认使用 **隐写术** 进行恶意软件投递 ### 横向移动 - 协议：SMB - 源：被攻陷的工作站 - 目标：文件服务器 (192.168.250.20) ### 影响 - 257 个 PDF 文件被加密 - 401 个文本文件被加密 - 导致多系统攻陷并造成业务中断 ## 观察到的 MITRE ATT&CK 技术 - T1190 – 利用面向公众的应用 - T1110.001 – 暴力破解：密码猜测 - T1059.005 – 命令和脚本解释器 - T1105 – 入站工具传输 - T1027 – 混淆文件或信息 - T1486 – 数据加密造成影响 - T1021.002 – 远程服务 (SMB) ## 失陷指标 ### IP 地址 - 40.80.148.42 (扫描活动) - 23.22.63.114 (漏洞利用和暴力破解) ### 域名 - prankglassinebracket.jumpingcrab.com - solidaritedeproximite.org - cerberhhyed5frqa.xmfir0.win ### 文件 - 3791.exe - mhtr.jpg - 121214.tmp ### 哈希值 - MD5: AAE3F5A29935E6ABCC2C2754D12A9AF0 - SHA256: 9709473ab351387aab9e816eff3910b9f28a7a70202e250ed46dba8f820f34a8 ## 调查方法 ### 日志分析 - 分析了 HTTP、DNS、SMB 和 Sysmon 日志 - 跨多个数据源进行事件关联 - 还原了攻击者的活动时间线 ### SIEM 查询 - 从 HTTP POST 数据中提取凭证 - 识别出暴力破解模式和密码重用情况 - 追踪了恶意文件执行和进程链 - 调查了用于命令与控制活动的 DNS 查询 ### OSINT 与威胁情报 - 利用 VirusTotal 对 IP 和哈希值进行追踪 - 识别出攻击者基础设施和恶意软件样本 - 使用 CyberChef 解码了嵌入的十六进制字符串 ## 检测与响应建议 ### 事件响应措施 - 立即隔离受损系统 - 重置所有受影响的凭证 - 执行取证镜像与分析 - 上报至事件响应负责人 ### 预防改进措施 - 强制执行强密码策略并启用 MFA - 实施账号锁定机制 - 对 Web 应用进行补丁修复与安全加固 - 限制从用户目录执行脚本 - 加固 SMB 访问控制 ### 检测增强措施 - 检测频繁登录失败后紧接着成功的模式 - 监控来自 AppData 的 VBScript 执行情况 - 将 DNS 活动与恶意软件下载进行关联 - 提高勒索软件检测的可见性 ## 展示的技能 - 事件响应与分诊 - SIEM 日志分析 - 威胁狩猎与关联 - 恶意软件分析 (行为分析) - OSINT 与威胁情报 - 攻击链重构 - MITRE ATT&CK 映射 ## 支持文档 本次调查由以下文档支持： - 分诊报告 (初步发现与影响评估) - 详细的调查笔记 (查询、分析与证据) ## 项目文件 - [IR 分诊报告](./IR%20Triage%20Report%20%7BJerome%20Schaeffer%20II%7D.docx) - [调查笔记](./Investigation%20notes%20%7BJerome%20Schaeffer%20II%7D.docx) ## 备注 所有分析均在受控实验室环境中进行。未对真实环境中的系统造成影响。

标签：Cerber勒索软件, DAST, DNS通配符暴力破解, ESC4, GitHub Advanced Security, Joomla漏洞, OSINT, PoC, SMB协议, Webshell, Web应用攻击, 凭证滥用, 勒索软件, 子域枚举, 安全事件分析, 安全加固, 库, 应急响应, 恶意软件分析, 攻击链分析, 数字取证, 文件加密, 日志关联分析, 暴力破解, 横向移动, 编程规范, 网络信息收集, 网络安全, 自动化脚本, 隐写术, 隐私保护