记一次勒索病毒溯源

0x01 现场情况

中勒索病毒的服务器置于云上，配置了弹性公网IP，Windows server 2008 R2系统，安全组方面虽更改了RDP端口号，但是RDP的服务也还是直接暴露在公网上，同时未配置任何云上安全产品。
在突然得知中了勒索病毒的情况下，只能找最传统的方式来查看了。

0x02 所谓“溯源”

1. 首先看到的是checkme文件，告诉你被勒索了（内心OS：Do you support e-CNY?）
   
   结合被加密的文件后缀均为Arthur，通过everything在查看文件修改信息后即可确认文件开始被加密的时间为7.2的0:55，7.2的1:32全部加密完成。（PS：检查了生成的checkme文件所有者均为Administrator
   

2. 通过巨硬的Autoruns检查一下进程是否还有驻留
   
   从进程上看加密应该是一次性完成，进程中未发现异常

3. 导出日志到本地查看，用了下Log Parser Lizard，后面用回自带的查看器，无关好坏，看哪个顺手。

   1. Windows日志事件的代码查询，根据时间点关注安全日志下的4624和4625这两个事件ID，在时间接近（7.2 00:29:48），且IP较为异常（77.234.43.184）且有账户登录值的仅有zmkj这一账户。
      
   2. 上图安全标识符的值为S-1-5-21-3121432560-532369993-2617856845-1010，和这个安全ID关联的仅有1501事件，无法判断重要性。

0x03 也许是结论吧？

根据网络结构来看，无论是内网还是公网，都需要经过安全组，且安全组中的RDP服务始终对外暴露，因此更倾向于直接从外网打入，无法查找到如何从低权限账户提权到Administration

0x04 后记

最近因为各种事情一直没咋睡好觉（好像我睡眠一直不行来着），初看本次溯源的时候就非常困，最后免不了周末加班重新分析（做事还是得认真点哇
当然很多部分因能力问题无非找到更有力的证据，只能猜测了，用词上还是慎之又慎（真实的反馈结果即可