安永咨询黑客松决赛团队答辩

任务一、攻击链路的还原

1、开启远程桌面服务，ip暴露公网

2、直接使用admin权限账户登录

3、没有后端验证，需要做内网隔离

4、172.28.1.22 172.28.1.25 172.28.1.222

5、攻击出口ip为120.128.23.32

6、病毒种类faust类病毒

漏洞特征

• 电子邮件附件：犯罪分子可能伪装成合法的发件人，发送包含恶意附件的电子邮件，一旦受害者打开附件，病毒就会感染计算机。• 恶意下载：感染者可能会点击带有病毒的链接或在不安全的网站上下载了.faust勒索病毒。• 漏洞利用：病毒也可以利用操作系统或软件中的漏洞，自动感染计算机，而无需用户交互。

7、防火墙配置

（多出使用any配置）

8、备份文件被覆盖，装有远程办公系统（远程办公系统验证码固定，一旦泄露就会导致控制权限泄露）172.28.1.25

9、vmware虚拟机被重置，大概率使用kali等渗透操作系统 172.28.1.25

10、administraror账户在事件近期登录过（9.19）172.28.1.222

11、文件被查看file1 file2 file3 被查看 172.28.1.222

12、administraror账户 NTuser.dat被加密损坏 172.28.1.222

13、admin账户没有加密权限为管理员（域内账户） 172.28.1.222

14、

2.exe

rufus.exe

h2-setup-2019-03-13.exe

Fast.exe

jbk-8u202-windows-x64.exe

ChromeSetup.exe

xampp-windows-x64-5.6.40-1-VC11-installer.exe

15、 25、29、55、28、27、55在19号均有登录rdp远程桌面服务 172.28.1.222

16、域控服务器有admin账户登录记录 172.28.1.20

17、172.28.1.55 172.28.1.27都有长时间rdp操作

端口：21 3389

任务三、安全建议

1、做内网隔离

2、后端验证

3、权限细化

4、定期下载备份，扫描恶意文件

5、远程办公使用权限账户

6、对设置账户权限进行管控

7、提高工作人员安全素养、定期培训

8、工具部署：所用网站都使用waf保护、设置堡垒机防护、后端定期使用扫描、使用安全厂商开发的办公系统、加大对弱口令等建议漏洞的排查，对文件上传页面，做更严格的正则语句，使用公司内置vpn，减少公网暴露面积。