本篇主要是小弟的心得,由於本身不學無術且功力差,所以本篇應該沒有啥技術含量的東西,請各位看官多多包涵
”另最近有網友對小弟這篇心得有興趣 文章歡迎轉載 註明出處就好了 不需再私我“
2022年5月28日(週六)清晨接到主管電話告知公司被駭系統被加密,臉也沒洗牙也沒刷就急急忙忙開車到公司,看見主管和另一位同事已經癱軟在位子上一直喃喃自語,如果我那麼早來又一直手足無措應該也會這樣,但因為曾經有過經驗(在別間),所以有點慌但還算鎮靜。首先跟同事確認了目前什麼能用、什麼不能用,得到的回答是網域admin權限被搶走了,目前我們都是一般使用者權限,基本什麼都不能做,但慶幸的是檔案服務主機及虛擬主機權限主控權還在我們手裡(因為未使用AD帳號管理)。
身為網域管理者如果權限被拿走還真的啥事都不能幹(如同公司大門key被拿走,你只能在外面乾著急),所以我又問是否有嘗試過利用工具奪回管理者權限過,主管回答他有在網路上找過相關工具,但他擔心使用後會對網域破壞極大,造成不可挽回的破壞,所以遲遲不敢動手,知道了狀況後我大致決定了我的優先工作1.搶回網域主控權2.使用快照將檔案主機被加密的檔案還原。
為了防止工具破壞AD完整,首先將其中一台被奪去網域admin權限的虛擬機還原到測試用的VM Host上,在網路上找到了一個叫pcunlocker的工具似乎是比較多人用的,網路上也有多人提供教學,但測試發現該軟體只能破解local admin,不能破解domain admin,除非......,緊急情況當然先往左岸找,結果還真讓我找到了,用該軟體提供的開機方式,順利的在測試中奪回了管理者權限,經過了一番檢查,確認該工具沒有破壞AD內的使用者帳號及同步功能(其實只是大致檢查),馬上把這訊息分享給同事,並報告長官請求在正式環境使用該工具(其實他也沒啥選擇餘地)。
利用工具在正式環境打開AD後,並且修改管理者權限密碼後,接下來就是重開機看結果,等待開機時,我都可以感覺到我後面兩位的緊張感,鍵入新的管理者權限密碼,幹!還是密碼錯誤!不行!完蛋了!死了!!,我長官顫抖的說你會不會打錯了密碼,請再試一次。後來我定眼一看,上次登入的帳號是一個陌生的帳號叫"domainadmin",一般沒注意可能會以為這是系統產生的帳號,但我越看越奇怪就把登入帳號改為domain/administrator,並重新再key一次用pcunlocker提供的更新密碼,然後.....就可以了,我(們)激動的叫了起來"搶回來了"!!
接下來可以做的工作就多了,清查莫名帳號(還真有不少)、修改權限較高使用者密碼、關閉莫名的連線、所有的主機重開等。其中發現駭客將我們防毒主機中控(Trend的apex one)打掛無法再使用,可能是為了防止user端的防毒程式又啟動影響了他的加密工作,另為了怕使用者發現而修改密碼,故意將原只要8碼的密碼硬改為要12碼,增加修改密碼的難度。
再來就是把使用網路磁碟機(SMB)提供服務的檔案服務器(synology)利用快照還原,我們有十幾個提供服務的資料夾,駭客只加密了"業務部"和一個全公司都可以寫入的共享資料夾,顯然他看得懂"中文"知道什麼是重點目錄。損失最慘重的當屬在攻擊發起時(5/28 00:00)未關機的PC,幾乎都中招,除了所有的OFFICE和圖形檔案全部被加密(*.lockbit),甚至連OFFICE主程式都被破壞而無法開啟(EXCEL),就算是OFFICE重新安裝也無法啟動,只能含系統重灌一途。有些使用者稍微有點觀念,所以接了USB外接硬碟來做備份,結果沒拔下來當然也是跟著被加密欲哭無淚啊。
接下來就是漫長的復原動作,全國跑透透幫各單位的電腦重灌,請安控專家查察我們網路內外還有什麼漏洞要修補或增加告警機制的。
本次攻擊我們的是叫做lockbit2.0,特徵是利用漏洞將網域主控權搶走,再利用網域最高權限進入每個人的電腦實施加密,達到勒索目的,只是這次事件受損不大真有幾分運氣
1.駭客利用周六凌晨開始攻擊,就是希望利用假日神不知鬼不覺來最大化加密機會,但其實我們公司因業務性質,幾乎全天都有人上班,所以凌晨時當值班人員發現他平時做的哪就個表單突然打不開了,馬上通知我們一位夜貓子同事狀況才爆開的,如果是周一上班才發現就真的很難想像了。
2.我們大部分的主機幾乎都已經虛擬化(VMware vSphere),主控是獨立的帳密,並沒有將網域主控加入為登入權限(尤其是domain administrator),這可能是逃過的原因,如果是我們虛擬主機(guest)全部被加密,我猜我今天應該是寫利用比特幣付錢的心得。
3.發生前一週我們剛好將用了10年的Windows系統的檔案服務主機更換為Synology NAS,也可能避開因在網域控管而被系統快速極大量加密(LockBit 2.0宣稱,加密100GB資料在4分半就能完成),唯一在synology被加密的兩個目錄也利用快照很快還原了。
心得:
某安控專家來談時說他接手過很多駭客入侵的案子,這些大型跨國企業、金控銀行和政府等單位每年都花了幾百幾千上億的資安維護成本卻依然不時傳出被駭,你們打算花多少?也就是說跟駭客的戰爭不管你花多少錢買盾,它們都可以用很低的成本利用工具找到你盾上的縫隙,除非你每年都花費極高額的代價來維持你的盾,不然就真的只是你們公司有沒有被選上或難易度高不高讓比較低階一點的主動打退堂鼓。所以我個人頃向我們這種中小企業把公司資源投資在備份還原能力才是比較高的CP值。
