一.事件背景
2023年12月20日上午10点55分,威胁检测设备告警发现主机10.10.10.71中毒了挖矿木马,对外反连域名v.beahh.com,v.beahh.com是挖矿蠕虫LifeCalendarWorm域名。
LifeCalendarWorm,也被称为人生日历蠕虫,是“驱动人生”系列软件的一部分,于2018年开始传播。该蠕虫主要通过电子邮件附件、恶意下载、漏洞利用和受感染的网站等方式传播。它的危害包括占用系统资源、窃取用户个人信息、破坏数据文件、利用感染的计算机进行远程控制以及向其他计算机传播形成病毒传播链。此外,人生日历蠕虫还可以进行挖矿活动,影响计算机的性能,甚至导致系统崩溃。它利用了“永恒之蓝”攻击组件进行攻击活动。
二. 参与人员
McAfee
三. 问题研判
1-10.10.10.71对应windows server 2012R2系统,Goby对其端口扫描,发现135、137、139、445、1433、1434、3389端口对外开放。
2-RDP远程登录主机,发现本机安装有360杀毒,但2019年之后一直没有更新病毒库,最后一条安全防护日志是2018年5月12日。命令行systeminfo可知系统初始安装时间是2018年5月4日。
3-查看任务计划,发现有2个名称YIyO和EdZfyeDo的计划任务比较可疑,创建者是system权限,对应的程序分别是C:\Windows\YIyO.exe。从触发器可以推断被入侵的时间在2022年10月8日或之前。计划任务文件夹是C:\Windows\System32\Tasks
4-查看C:\ Windows文件夹,发现YIyO.exe,文件修改时间是2022年10月8日凌晨3点13分,查看C:\ Windows\Temp,发现svchost.exe和hash.txt的文件修改时间和YIyO.exe一样。
5-使用everything文件搜索工具查看2022年10月8日当天的文件,发现C:\Windows\System32\Tasks\Microsoft\Windows存在Bluetool。
6-查看Bluetool的内容,经过解码发现v.beahh.com域名的痕迹。
7-2022.10.08的2点59分病毒进行了一个探测,生成一份日志Detections.log。
8-查看事件查看器中的windows安全日志,发现最早可看的日志是2022.09.28的,可以发现2022.10.08当天2点49分,IP 10.10.10.219对该服务器Administrator进行smb爆破尝试且成功,4624是登录成功,4625是登录失败。在应用程序和服务日志的Microsoft-Windows-SMBServer日志也可以证明。
9-在应用程序和服务日志的Microsoft-Windows-TerminalServices-RemoteConnectionManager日志,未发现2022.10.08 RDP administrator远程登录成功情况,事件id 1158中可以看到来源IP。
10-命令行输入regedit打开注册表,HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\,可以看到该台服务器曾远程登录过的服务器地址,这些服务器大概率也已经中毒。
四. 处置方案
1-安装火绒安全软件进行全盘查杀。
2-删除YIyO和EdZfyeDo这两个计划任务。
3-删除C:\ Windows\Temp\svchost.exe,删除C:\ Windows\YIyO.exe
4-使用杀毒软件安装补丁,火绒安全软件无法为windows 2012 R2服务器操作系统安装补丁,360安全卫士和腾讯电脑管家在联网情况下可以。
5-修改windows服务器和sql server数据库密码为强密码。
五. 事件总结
1-windows服务器版本过老,新上版本必须为windows server 2019以上。
2-windows服务器软件模板中没有杀毒软件,新上版本必须安装火绒安全软件。
3-windows服务器未进行安全加固,新上版本必须为windows server加固版。
