扫描 爆破 勒索病毒 入侵 我被攻击了
医疗行业ERP 系统被 .jenkins 勒索病毒应急响应分析 奖励¥300
微步情报局 2020-01-07 10:10:03 1095人浏览
情报提交人:
weirdbird
情报简介:

1 详细说明(必填)

3389端口远程桌面登录遭到破解,攻击者投下.jenkins 勒索病毒,客户多台服务器以及部分PC机文件被加密,完成加密后会对样本进行销毁,且攻击成功一台后,会探测同c段网络,进行横向蔓延

2 入侵途径

3389 远程桌面弱口令入侵


3 攻击手法

入侵成功后, 投下勒索病毒,进行加密勒索,完成后销毁样本

4 内部溯源

查看服务器开放端口,发现3389、445等敏感端口均为开放状态。

image.png


在攻击者远程登录成功后,进行内网横向暴力破解,并运行勒索病毒。

image.png

最早出现勒索病毒的服务器为192.168.*,发现在2019年12月27日02:37攻击者将病毒植入服务器中,在12月30日凌晨4点多爆发。

image.png

在192.168.*,ERP系统中,病毒在12月30日凌晨5点多爆发

image.png

勒索病毒加密后的文件为.jenkins后缀



5 攻击外部溯源

在安全日志中查询事件ID为4624,即远程登录成功的事件ID。发现一个境外IP45.139.48.8的荷兰IP在事发前进行登录成功过几台出事的服务器。

image.png


经过nmap进行嗅探,发现此IP开放9001端口,开放洋葱路由服务,推测该攻击ip为跳板服务器

image.png

6 样本分析

对提取到的病毒样本进行分析,发现勒索病毒注册表中启动,并对文件进行加密,并且自带内网横向蔓延爆破功能

image.png

目标行业:
健康医疗行业

奖励计划获奖情报所有权归微步在线所有。

微步在线有权对该情报进行使用、编辑、存储、复制、修改、创建衍生作品、交流、发布、公开执行、公开显示。

匿名用户 2020-01-28 14:36:26 回复
666
匿名用户 2020-01-07 10:26:08 回复
有两下子。你这边chadao 是北上广的医院么?
微步情报局 2020-01-08 10:26:12 回复
您好,该条情报时社区用户在给客户做应急时发现的情况。具体哪里医院,是不清楚的。
匿名用户 2020-01-09 14:11:13 回复
回复@微步情报局: 嗯嗯,明白,我是想了解下我们这边用户看有没有被中的可能性。
奖励计划banner
今日推荐