TeamT5 杜浦數位安全專注資安威脅情資分析與端點防護解決方案,並成立威脅偵測應變代管服務 (MDR) 團隊,協助國內外客戶狩獵資安威脅,即時防禦可疑的資安事件。
本次部落格綜合近期威脅狩獵案例,與讀者分享 TeamT5 實際如何進行威脅狩獵,給予使用類似資訊系統配置的企業,做為參考。
事件開端
TeamT5 威脅偵測應變代管服務 (MDR) 團隊同仁於2023年4月中旬,發現客戶端部署 TeamT5 解決方案 ThreatSonar Anti-ransomware (下簡稱ThreatSonar)之設備,跳出勒索事件阻擋告警;團隊同仁即於第一時間通報客戶,客戶表示此端點為伺服器區的資料庫主機。
事件通報內容
本次事件由 ThreatSonar 雲端平台版本偵測到,標記為高風險事件。TeamT5 團隊隨即通報客戶,內容包含有以下資訊:
- 端點HOSTNAME:WEB-DB
- 端點IP:172.16.x.x
- 觸發條件:Ransomware
- 惡意程式路徑:C:\XXX\example.exe
- 分析結果:端點遭執行勒索軟體,因觸發ThreatSonar勒索防護規則遭攔截
- 處置建議:
- 透過 ThreatSonar 對端點進行隔離,避免攻擊者進行橫向移動,減低受害範圍。
- 進行資安事件調查程序(Incident Response, IR)。
事件調查
通報完成後,TeamT5 團隊 – 威脅偵測應變代管服務團隊與資安事件調查團隊 – 共同協助客戶進行根因調查,詳細檢視 ThreatSonar 雲端平台上相關主機的報告及客戶端主動提供之 log 檔案。
事件結果
- 在這次的勒索事件中,ThreatSonar 的掃描報告顯示,除勒索軟體本身之外,並未有其他惡意程式或是木馬軟體存在,因此增加調查的困難度。隨後查閱 eventlog 發現有異常的登入紀錄 (EventID 4625),便與管理者確認來源為對外服務之網頁應用程式主機。
- 可疑來源主機於 ThreatSonar 並無監控記錄,管理者表示這台主機主要負責對外廠商提供網頁服務,並未安裝 ThreatSonar Agent。TeamT5 團隊認為這台主機極有可能是攻擊者所使用之跳板,當下請管理者對該主機進行實體隔離,並使用 ThreatSonar 離線掃描工具進行檢測。
- TeamT5 團隊在取得報告之後發現該主機上含有 Webshell 惡意程式和開源內網穿透工具FRP,攻擊者可以透過此 Webshell 對內網進行攻擊(如:遠端指令、竊取帳密、提權、內網探測等行為)。
- TeamT5 團隊在分析相關 log 後確認攻擊者利用客戶網頁之上傳功能漏洞,於數個月前便對客戶網站進行掃描,並於年初上傳了 Webshell 惡意程式,進行後續一連串的探測和攻擊行為。
本次事件攻擊路徑與時間軸
事件後續改善做法
TeamT5 團隊在調查完成之後,對客戶提出以下建議:
- 針對遭勒索攻擊之主機,建議還原取回重要檔案後重建。
- 相關遭利用之主機,建議清除惡意程式和駭客工具。
- 盤點網頁服務中的上傳功能,對前後端進行上傳檔案限制(檔案類型、附檔名、大小),對於上傳的檔案利用沙箱或是檔案清洗方案進行檢測,並加強具有上傳功能頁面之權限控管。
- 盤點場域內未控管主機,安裝並持續使用 ThreatSonar 監控。
- 對 Webshell 及 FRP 調查中所取得之 Command & Control (C2)位置,於防火牆進行封鎖和關聯,確認是否有其他受害主機。
- 內網劃分區隔,各網段間流量要通過防火牆控管及監控。
- 重設高權限使用者密碼。
TeamT5 威脅偵測應變代管服務 (MDR) 團隊呼籲
針對近期攻擊行為,我們建議企業採取以下做法,增強資安韌性,防禦可能的攻擊:
- 採用VPN帳號啟用雙因子驗證 (Two-Factor Authentication, 2FA)。
- 加強網頁上傳功能的前後端驗證機制。
- 除重要主機資料定期備份外,勒索軟體第一步會刪除 Windows 還原點,需要對還原點進行保護措施。
TeamT5 杜浦數位安全提供威脅偵測應變代管服務 (Managed Detection and Response, MDR),由擅長防禦的專家團隊與企業一同應變,防禦多元的惡意程式入侵;由經驗豐富的專家團隊與企業攜手,防禦持續演進的攻擊手法。
立刻聯絡我們,展開資安防禦第一步: https://teamt5.org/tw/contact-us/