企業
ENTERPRISE
上海某制造業勒索病毒應急響應案例
一、項目背景
? ? ? ?22年10月,該客戶緊急聯系安恒信息,客戶網絡內部出現勒索病毒事件,請安恒協調安全專家、安全設備緊急支持,找出被感染的原因,評估被感染的范圍,鎖定病毒,保障。
二、應急響應過程
? ??
- ? ?10月17日14時20分,安恒安服人員收到客戶通知,XX系統發生了勒索病毒安全事件,需要前往現場協助應急。
- ???10月17日16時,現場應急工作隨即展開,目標以業務恢復優先。
- ???10月17日-10月24日,安恒信息緊急展開應急響應,內容包括攻擊取證系統漏掃、補丁加固,安全產品臨時加固(APT、EDR、日志審計)等相關內容。在此期間,通過APT設備監測到區域網段中均存在大量的惡意域名回連情況,EDR設備掃描出數十個終端存在惡意文件,病毒查殺。
- ? ?10月24日 2:00,勒索郵件約定時間截止,未發生因勒索病毒造成的二次攻擊事件,應急工作暫告一段落。
三、事件復盤
? ? ? ?由于現場不具備應急溯源的條件。根據已知線索,推測攻擊者的攻擊路徑如下:攻擊者通過web漏洞攻擊,拿下分支機構網絡,通過利用EXSI通用漏洞對內網中的其他機器進行攻擊,獲取服務器權限,實施勒索。進一步滲透至總部數據中心,最終對全國內部網絡造成影響。
勒索病毒通用應急處理方法