與 Downadup 病毒奮戰

最近公司工廠傳入了 Downadup 的病毒, 病毒的說明請參考 Symantec 的網站, 微軟也針對這個疏失也出了相對應的 Patch , 這些更新可以在網站上下載安裝, 不過補強後病毒仍然還是要手動清除..

被發現的原因是偵測到 Server 的安全性稽核一直連續性的失敗, 整個 Log 約設定有 128MB 的空間, 全都是顯示稽核失敗, 此時就已經知道中毒了, 但是來源還沒有被確認, 後來有部分的員工因為有安裝公司使用的防毒軟體, 反應攔截到Downadup這隻病毒 (有其他軟體誤認為 conflick 這隻病毒).

接下來把稽核資料匯出成 CSV 的格式來找出兇手, 因病毒會仿造其他使用者的登入帳密去Try, 在 Event 中看到的稽核失敗的使用者通常不是苦主而是被害者, 所以必須判斷來源端的 IP, 反查回去中毒的電腦是哪一台.

這隻病毒會利用中毒電腦中已知的帳號及密碼去嘗試連結到遠端電腦, 一旦成功後會在遠端電腦自動幫你加入執行病毒的排程, 時時刻刻的都會執行感染的動作.

病毒感染排程
病毒感染排程

要刪除以上作業時記得可以把不要的排程全部選取後, 統一選擇停止執行, 這樣在記憶體的病毒有大部分可以先停止繼續感染, 之後利用 BitDefender 提供的免費移除軟體, 先做第一步的測試來確認解毒步驟是否成功.

Ps. 在這邊也嘗試了微軟的惡意軟體的移除程式 結論是抓不到…

成功後觀察幾個小時後發覺該電腦已經不再繼續攻擊, 確認這隻移除程式可以安全並正確的把病毒移除掉.

接下來就是麻煩的地方了, 需要投入大量人工來做確認:
1.    防毒程式是否有安裝完成, 並更新至最新的病毒碼
2.    人員自己在電腦上面的分享先行關閉, 減少被感染的機會
3.    先行手動變更 Local Administrator 密碼, 防止因該帳號被破解後發生的感染

之後利用公司 Active Directory 的機制把一些自動化的機制佈署下去
1.    檢查 WSUS 機制是否能正常且正確的佈署微軟的更新
2.    宣導使用者於休息時間手選自動更新來佈署
3.    於登入的 Script 加入變更 Local Administrator 密碼
4.    強制執行 BitDefender 的解毒程式

以上步驟就可以紓緩被大量攻擊的壓力, 讓整個 Domain Controller / Server 不會忙著被驗證, 之後再去 Review 稽核日誌內, 看看哪邊有漏網之魚, 針對」頑強」電腦進行人工的掃毒來排除最後的腫瘤.

發表迴響