全球化勒索病毒应急响应与取证分析教学文档<\/h1>

一、案例概述<\/h2>

本案例模拟了一个业务服务器被勒索病毒攻击的场景，主要特征包括：<\/p>

阿里云ECS实例被入侵<\/li>
Web首页被替换为勒索界面<\/li>
部分重要文件被加密为.vulntarget扩展名<\/li>

需要完成攻击画像分析、服务恢复和寻找隐藏flag<\/li> <\/ul>

二、初始信息<\/h2>

已知条件：<\/strong><\/p>

服务器账号: root<\/li>
密码: Vulntarget@123<\/li>
环境: 阿里云ECS实例镜像<\/li> <\/ul>
任务要求：<\/strong><\/p>

分析攻击事件发生过程，给出攻击画像<\/li>
恢复原始index.jsp页面，恢复正常web服务<\/li>
找到隐藏的3个flag<\/li> <\/ol>
三、取证分析步骤<\/h2>
1. 系统日志分析<\/h3>
关键日志文件：<\/strong><\/p>

\/var\/log\/auth.log<\/code> - 认证日志<\/li>
\/var\/log\/syslog<\/code> 或 \/var\/log\/messages<\/code> - 系统日志<\/li>
\/root\/.bash_history<\/code> - 命令历史记录<\/li> <\/ul> 2. 命令历史分析(\/root\/.bash_history<\/code>)<\/h3> 攻击者操作流程：<\/strong><\/p> 初始设置阶段：<\/strong><\/p> 更新apt源并安装openjdk-8-jdk和unzip<\/li> 下载并配置Apache Tomcat 7.0.79<\/li> 输出第一个flag: flag{vulntarget_very_G00d}<\/code> (第11行)<\/li> <\/ul> <\/li> Tomcat配置修改：<\/strong><\/p> 备份并修改server.xml和web.xml配置文件<\/li> 多次启动\/停止Tomcat服务<\/li> <\/ul> <\/li> Web目录操作：<\/strong><\/p> 进入webapps\/ROOT目录<\/li> 删除favicon.ico<\/li> 备份并修改index.jsp<\/li> 将vulntargetn.jsp重命名为404.jsp<\/li> <\/ul> <\/li> 加密准备：<\/strong><\/p> 安装rsa包: pip3 install rsa<\/code><\/li> 创建隐藏目录.vulntarget<\/code>和子目录keys<\/code><\/li> 生成并存储RSA密钥对(pubkey.pem和privkey.pem)<\/li> <\/ul> <\/li> 文件加密操作：<\/strong><\/p> 运行encrypt_vulntarget.py对文件进行加密<\/li> 加密了多个jsp文件: 404.jsp.vulntarget、flag.jsp.vulntarget等<\/li> 删除加密脚本和公钥文件<\/li> <\/ul> <\/li> <\/ol> 3. Flag位置分析<\/h3> 三个flag位置：<\/strong><\/p> 第一个flag<\/strong>：直接出现在命令历史记录中(第11行)<\/p> flag{vulntarget_very_G00d} <\/code><\/pre> <\/li> 第二个flag<\/strong>：在加密文件flag.jsp.vulntarget中<\/p> 使用私钥解密后获得:<\/li> <\/ul> flag{https:\/\/github.com\/crow821\/vulntarget} <\/code><\/pre> <\/li> 第三个flag<\/strong>：在Tomcat访问日志中<\/p> 文件路径: \/opt\/tomcat\/logs\/localhost_access_log.2024-06-04.txt<\/code><\/li> 第544行发现flag<\/li> <\/ul> <\/li> <\/ol> 4. 攻击路径还原<\/h3> 初始入侵点<\/strong>：<\/p> 利用Tomcat 7.0.79的CVE-2017-12615漏洞<\/li> 通过PUT方法上传webshell: PUT \/vulntarget.jsp\/ HTTP\/1.1 <\/code><\/pre> <\/li> <\/ul> <\/li> 后续操作<\/strong>：<\/p> 通过webshell执行命令(如whoami)<\/li> 上传并重命名webshell文件(vulntargetn.jsp → 404.jsp)<\/li> 安装加密工具并加密重要文件<\/li> 修改index.jsp为勒索页面<\/li> <\/ul> <\/li> 漏洞利用证据<\/strong>：<\/p> Tomcat版本7.0.79存在已知RCE漏洞<\/li> 访问日志中可见PUT请求和webshell执行记录<\/li> <\/ul> <\/li> <\/ol> 四、恢复措施<\/h2> 1. 解密被加密文件<\/h3> 解密步骤：<\/strong><\/p> 定位私钥文件: \/.vulntarget\/keys\/privkey.pem<\/code><\/li> 使用RSA私钥解密被加密文件(如index.jsp.vulntarget)<\/li> 注意：某些在线解密工具可能存在问题，建议使用本地工具<\/li> <\/ol> 2. Web服务恢复<\/h3> 恢复原始index.jsp<\/strong>：<\/p> 解密index.jsp.vulntarget文件<\/li> 还原为原始后台管理系统页面<\/li> <\/ul> <\/li> 清理恶意文件<\/strong>：<\/p> 删除webshell文件(404.jsp)<\/li> 检查其他被修改的配置文件(server.xml, web.xml)<\/li> <\/ul> <\/li> 安全加固<\/strong>：<\/p> 升级Tomcat到最新版本<\/li> 禁用PUT方法等危险HTTP方法<\/li> 设置严格的访问控制<\/li> <\/ul> <\/li> <\/ol> 五、攻击画像<\/h2> 攻击者特征：<\/strong><\/p> 入侵方式<\/strong>：利用已知漏洞(CVE-2017-12615)<\/li> 攻击工具<\/strong>：自定义加密脚本(encrypt_vulntarget.py)<\/li> 驻留手段<\/strong>：通过修改web文件建立持久化访问<\/li> 目标<\/strong>：文件加密勒索，可能为自动化攻击<\/li> <\/ol> 时间线：<\/strong><\/p> 初始入侵：2024年6月4日14:31:18 (通过PUT请求)<\/li> webshell活动：14:33:57 (执行whoami命令)<\/li> 文件加密操作：后续通过命令历史记录可见<\/li> <\/ol> 六、防护建议<\/h2> 及时更新<\/strong>：保持中间件和应用程序最新版本<\/li> 最小权限<\/strong>：服务账户使用最小必要权限<\/li> 日志监控<\/strong>：实时监控关键日志文件<\/li> 备份策略<\/strong>：定期备份重要数据，测试恢复流程<\/li> 入侵检测<\/strong>：部署HIDS\/NIDS检测异常行为<\/li> <\/ol> 七、技术要点总结<\/h2> 取证关键点<\/strong>：<\/p> 命令历史记录分析<\/li> 日志文件时间线分析<\/li> 加密文件与密钥定位<\/li> <\/ul> <\/li> 应急响应流程<\/strong>：<\/p> 确认影响范围<\/li> 收集证据<\/li> 恢复服务<\/li> 分析攻击路径<\/li> <\/ul> <\/li> 加密勒索应对<\/strong>：<\/p> 寻找并保护加密密钥<\/li> 评估解密可能性<\/li> 优先恢复关键业务文件<\/li> <\/ul> <\/li> <\/ol> 本案例完整展示了从勒索病毒攻击的应急响应到取证分析的全过程，强调了日志分析、命令历史审查和加密文件处理的关键技术点。<\/p>