◆周敏

（江蘇省靖江中等專業(yè)學(xué)校 江蘇 214500）

1 故障現(xiàn)象

1.1 服務(wù)器環(huán)境

本次受到攻擊的服務(wù)器是一臺2014 年采購的某品牌機(jī)架式服務(wù)器，板載SAS RAID 卡，服務(wù)器上一共掛載了5 塊硬盤，其中第1、2 兩塊硬盤做RAID 1 磁盤鏡像，分有三個分區(qū)，盤符依次為C、D、E，其中C 盤安裝了Windows 2008 R2 操作系統(tǒng)；其余三塊硬盤為數(shù)據(jù)盤，未做RAID 冗余，每塊硬盤有一個分區(qū)，分配的盤符依次為F、G 和H。

1.2 故障現(xiàn)象

日常巡檢時發(fā)現(xiàn)服務(wù)器對遠(yuǎn)程訪問無響應(yīng)，現(xiàn)場操作鼠標(biāo)、鍵盤無反應(yīng)，斷電重啟后操作系統(tǒng)無法自舉，顯示器上顯示一個QQ 號。

通過與該QQ 號交流得出，入侵者對原所有盤符進(jìn)行了加密鎖定，需要支付一定的解密費(fèi)用，支付方式為支付寶或某虛擬貨幣。

2 故障診斷

筆者在發(fā)現(xiàn)異常后第一時間切斷網(wǎng)絡(luò)和電源，并啟動了應(yīng)急預(yù)案，準(zhǔn)備U 盤啟動盤和移動硬盤，開始著手故障分析和修復(fù)。

使用U 盤WinPE 啟動后，依次掛載不同數(shù)據(jù)盤，均能正常訪問數(shù)據(jù)，但在掛載系統(tǒng)盤時發(fā)現(xiàn)提示沒有分區(qū)信息，該硬盤的分區(qū)信息被惡意刪除了，之后通過分區(qū)修復(fù)工具順利還原了分區(qū)信息，并在進(jìn)行數(shù)據(jù)備份時發(fā)現(xiàn)回收站內(nèi)有一個名為disklock 的文件夾，另外還發(fā)現(xiàn)了IIS 漏洞掃描工具IISPutScanner、IP 掃描工具IpTestTool、超級弱口令檢查工具SNETCracker 和遠(yuǎn)程控制軟件向日葵TeamViewer，于是便對這些異常出現(xiàn)的工具也進(jìn)行了備份。

激活主引導(dǎo)分區(qū)后，將硬盤用安全模式啟動，“我的電腦”里只有C 盤，看不到同一塊硬盤中的D 和E 兩個分區(qū)。啟動操作系統(tǒng)的“磁盤管理”工具，試圖從該工具中打開D 盤，但卻彈出“本次操作由于這臺計(jì)算機(jī)的限制而被取消，請與你的系統(tǒng)管理員聯(lián)系?！钡南拗铺崾荆贿^，可以通過cmd 窗口內(nèi)執(zhí)行DOS 命令的路徑訪問D 盤。從提示內(nèi)容看，是當(dāng)前用戶對D 盤無訪問權(quán)限。

筆者通過執(zhí)行g(shù)pedit.msc 打開“本地組策略編輯器”，在“用戶配置/管理模板/Windows 組件/Windows 文件資源管理器”節(jié)中找到“防止從‘我的電腦’訪問驅(qū)動器”和“隱藏‘我的電腦’中的這些指定的驅(qū)動器”，雙擊彈出設(shè)置界面均顯示狀態(tài)為“未設(shè)置”，以為組策略并未配置任何限制，重置狀態(tài)后也未能解決問題。筆者發(fā)現(xiàn)將D 分區(qū)盤符更改為原有盤符之外的任意一個盤符（如X 盤）能正常訪問，至此，筆者懷疑是disklock 軟件對D-H 盤符進(jìn)行了鎖定。

3 故障解決

3.1 故障分析

分析disklock 文件夾中的文件，只有一個可執(zhí)行文件屬于綠色版軟件，經(jīng)過病毒掃描未發(fā)現(xiàn)有病毒，雙擊運(yùn)行該可執(zhí)行文件，但因需要輸入登錄密碼而無法進(jìn)入程序主界面?；ヂ?lián)網(wǎng)上沒有找到有關(guān)該軟件的相關(guān)資料，筆者將該可執(zhí)行文件拷貝到另一臺電腦，嘗試使用調(diào)試工具進(jìn)行調(diào)試，發(fā)現(xiàn)在新的系統(tǒng)環(huán)境下運(yùn)行該程序并不需要輸入密碼，該可執(zhí)行文件啟動后，標(biāo)題欄名稱應(yīng)該為“Disk Drive Security”，軟件版權(quán)歸“Ixis Research，Ltd.”所有，主頁為“http://www.getfreefile.com/disksecurity.html”（該主頁無法訪問）。很多軟件下載網(wǎng)站均能下載到該軟件，但沒有關(guān)于該軟件登錄密碼研究的相關(guān)資料。

該軟件的主要功能是對指定盤符進(jìn)行隱藏、鎖定和禁止自動運(yùn)行操作，對外部設(shè)備實(shí)現(xiàn)寫保護(hù)操作，設(shè)置可以禁止自動運(yùn)行的驅(qū)動器類型。

因?yàn)樵谛颅h(huán)境下不需要輸入密碼，筆者猜測該軟件將密碼保存在系統(tǒng)中某個位置，通常是Windows 系統(tǒng)目錄中的某個文件或者注冊表里。

通過使用增強(qiáng)型任務(wù)管理器Process Explorer 對disklock 訪問的磁盤文件進(jìn)行監(jiān)控，沒有發(fā)現(xiàn)明顯的線索。使用系統(tǒng)進(jìn)程監(jiān)視器Process Monitor 對disklock 訪問的注冊表項(xiàng)進(jìn)行監(jiān)控，發(fā)現(xiàn)該應(yīng)用程序?qū)崿F(xiàn)主要功能時共訪問了注冊表中的六個表項(xiàng)，具體見表1。

表1 軟件訪問注冊表明細(xì)

各表項(xiàng)的具體功能為：LoginPrompt 項(xiàng)記錄了軟件的登錄密碼；NoDrives 項(xiàng)可設(shè)置隱藏磁盤信息；NoViewOnDrive 項(xiàng)設(shè)置禁止使用的驅(qū)動器；NoDriveAutoRun 項(xiàng)設(shè)置禁止自動運(yùn)行的驅(qū)動器；NoDriveTypeAutoRun 項(xiàng)設(shè)置禁止自動運(yùn)行的驅(qū)動器類型；WriteProtect 項(xiàng)設(shè)置對外部設(shè)備是否進(jìn)行寫保護(hù)。

3.2 密碼突破

通過取消密碼和設(shè)置不同密碼等操作，發(fā)現(xiàn)當(dāng)軟件取消密碼時會刪除注冊表中的LoginPrompt 項(xiàng)，當(dāng)設(shè)置了密碼時，LoginPrompt 項(xiàng)保存了經(jīng)過加密的密碼信息，經(jīng)分析，密碼的密文由密碼明文按字節(jié)異或0xED 產(chǎn)生。所以：

1）如果需要取消密碼，只要刪除LoginPrompt 項(xiàng)即可；

2）如果需要得到密碼，只要將密文再次異或0xED 即可。

3.3 故障排除

在受到攻擊的服務(wù)器上打開注冊表，找到并刪除LoginPrompt項(xiàng)，運(yùn)行軟件發(fā)現(xiàn)D-H 盤符確實(shí)被鎖定，解除鎖定并重啟服務(wù)器后所有故障消失，至此，服務(wù)器得到修復(fù)。

4 故障原因和分析

4.1 可能的入侵途徑分析

鑒于服務(wù)器上多了兩個綠色版的軟件，筆者猜測服務(wù)器受到了IPC 入侵攻擊，IPC 服務(wù)通常部署在137、138、139 和445 端口上，本次受到攻擊的服務(wù)器開通了445 端口。

來自445 端口的IPC 一次成功的攻擊過程大概為，首先通過445端口建立IPC 空會話，然后獲取全部登錄賬號，在使用掃描軟件尋找到弱口令賬戶后，登錄并向共享文件夾復(fù)制惡意程序，最后通過執(zhí)行惡意程序達(dá)成攻擊者目的。

考慮到服務(wù)器的445 端口并沒有開放到互聯(lián)網(wǎng)，所以懷疑是受到了來自局域網(wǎng)內(nèi)某臺計(jì)算機(jī)的入侵攻擊。眾所周知，Windows 2008 R2每次IPC 連接成功后會形成一條ID 為4624 的安全事件日志，而連接失敗后則形成以一條ID 為4625 的安全事件日志，掃描軟件在測試弱口令賬戶時一定會產(chǎn)生失敗的IPC 連接日志記錄，記錄里包含攻擊主機(jī)的主機(jī)名、IP 地址和端口號，借助這些信息可以逆向追查到攻擊主機(jī)。

因?yàn)樵诜?wù)器上發(fā)現(xiàn)了多款掃描軟件，所以對可能是入侵途徑的猜測可信度比較高。筆者在查看系統(tǒng)安全日志時發(fā)現(xiàn)所有日志均被清空，已經(jīng)無法進(jìn)一步確認(rèn)攻擊源，這一異常現(xiàn)象說明攻擊者清理了部分攻擊痕跡，但可進(jìn)一步提高對入侵途徑猜測的可信度。

4.2 組策略相關(guān)設(shè)置不能解決問題的原因分析

為什么之前通過組策略重置“防止從‘我的電腦’訪問驅(qū)動器”（鎖定驅(qū)動器功能）和“隱藏‘我的電腦’中的這些指定的驅(qū)動器”（隱藏驅(qū)動器功能）兩項(xiàng)沒能解決問題呢？

通過對組策略設(shè)置所訪問的注冊表項(xiàng)進(jìn)行監(jiān)控，發(fā)現(xiàn)組策略所有的操作都是針對注冊表中HKCU 節(jié)中的NoViewOnDrive 和NoDrives注冊表項(xiàng)進(jìn)行的，而disklock 軟件則同時對HKCU 和HKLM 兩個節(jié)中的對應(yīng)表項(xiàng)進(jìn)行了設(shè)置，Windows 在設(shè)置權(quán)限時，HKLM 的優(yōu)先級比HKCU 高，所以筆者通過修改組策略中的相關(guān)設(shè)置未能解決問題。

4.3 “防止從‘我的電腦’訪問驅(qū)動器”設(shè)置界面顯示“未設(shè)置”的原因分析

在D-H 盤符被鎖定時，通過組策略管理中的“防止從‘我的電腦’訪問驅(qū)動器”項(xiàng)看，仍然顯示為“未設(shè)置”狀態(tài)，筆者開始誤以為組策略中沒有作任何限制。為什么組策略中相關(guān)設(shè)置界面顯示錯誤呢？

在組策略管理中的“防止從‘我的電腦’訪問驅(qū)動器”項(xiàng)設(shè)置界面中，系統(tǒng)默認(rèn)該項(xiàng)組合中只有“僅限制A 和B”、“僅限制C”、“僅限制D”、“僅限制ABC”、“僅限制ABCD”、“限制所有磁盤”和“不限制”共7 種選項(xiàng)，各選項(xiàng)對應(yīng)的值為3、4、8、7、15、67108863 和0，并沒有類似“僅限制D-H”的選項(xiàng)，該選項(xiàng)對應(yīng)的值為0x000000FC（252），所以顯示“防止從‘我的電腦’訪問驅(qū)動器”項(xiàng)設(shè)置時無法成功匹配選項(xiàng)值，系統(tǒng)默認(rèn)顯示為“未設(shè)置”狀態(tài)。

我們可以修改Windows 安裝目錄中的WindowsExplorer.admx 文件，在相關(guān)節(jié)中添加值為252 的選項(xiàng)，修改WindowsExplorer.adml文件，在相關(guān)節(jié)中添加值“僅限制D-H”選項(xiàng)，這樣即可真實(shí)顯示本次受攻擊結(jié)果的磁盤鎖定狀態(tài)。

5 思考與建議

綜合本次受攻擊手段和修復(fù)過程，服務(wù)器能夠得到完美修復(fù)是比較巧合的事情，慶幸的同時也有一些問題值得思考。在網(wǎng)絡(luò)已經(jīng)廣泛普及的當(dāng)下，我們一定要時刻提高警惕，提高法制常識，提高安全意識，提高防范技能，確保信息安全。在此，對日常運(yùn)維給出兩點(diǎn)建議：

（1）提高服務(wù)器自身的安全性。通過安裝殺毒軟件和安全軟件、關(guān)閉不必要的端口、增強(qiáng)賬號口令強(qiáng)度、定期更改口令、定期檢查服務(wù)器安全性和及時安裝系統(tǒng)補(bǔ)丁等方法提高服務(wù)器安全性，盡量避免成為攻擊者的靶機(jī)。

（2）服務(wù)器區(qū)采用防火墻進(jìn)行保護(hù)。將服務(wù)器置于防火墻后，利用防火墻對非信任端口的黑名單策略，從而可以隔離基于端口的攻擊包。