九游会登录网站 - 首页是德甲多特蒙德官方合作伙伴,全球领先的合法购彩公司,九游会登录网站 - 首页拥有官方颁发的许可证并受其监督运营,专业提供体育电竞、真人娱乐、彩票投注等的正规购彩网站,九游会登录网站 - 首页为每一位用户提供最完善的服务和最快乐的时光!

    <tr id="i5ror"><option id="i5ror"></option></tr>

    <code id="i5ror"></code>
    <big id="i5ror"><em id="i5ror"></em></big>
    <th id="i5ror"><option id="i5ror"></option></th>

      如何发现被植入后门的内网主机

      6.1 问题描述

       

      科来网络分析工程师在对某政府单位的网络进行测试时,通过科来网络全流量安全分析系统 (TSA)对前几天的网络流量进行全流量回溯分析,凭借TSA强大的安全告警功能,发现了内网主机被植入后门程序,并在内网进行扩散的行为。

       

      6.2 分析过程

       

      经过前几天的数据收集及分析,TSA产生大量的告警信息。分析发现多条告警信息与IP X.X.56.120有关,需要对其进行挖掘与深度分析。

      图 6-1

      对可疑IP X.X.56.120进行多天的流量回溯分析,都存在异常的流量突发,突发流量以CIFS协议(文件共享)居多,下图为4月7日突发流量。

      图 6-2

      下图为4月8日突发流量。

      图 6-3

      下图为4月9日突发流量:

      图 6-4

      深度挖掘数据包,精细分析可疑IP X.X.56.120与内网主机的可疑行为:

      嗅探对端主机操作系统版本

      下图中,可疑IP通过Netbios收集对端主机的操作系统版本信息。

      图 6-5

      • 探测共享IPC$、ADMIN$

      下方两图中,可疑IP主动探测大量地址的IPC$、ADMIN$。攻击者?;嵬ü庑┠瞎蚕?,发起一些如账户暴力破解等攻击行为,可能存在安全问题。

      图 6-6

      图 6-7

      • 外联服务器vspcord.com

      服务器一般是主动响应客户端的连接请求。但下图数据显示,可疑内网服务器主动外联境外IP(葡萄牙),属于高危行为,需要密切关注的。

      图 6-8

      • 释放程序exe程序

      下图数据显示,可疑IP X.X.56.120随后主动向被攻击主机释放PE程序eraseme_XXXX.exe,通过多次抓包发现XXXX为随机数值。

      图 6-9

       

      6.3 分析结论

       

      由于数据包中发现了PE实体程序eraseme_xxxx.exe,结合搜集的资料,确定主机X.X.56.120被植入eraseme后门程序,并试图向内网其他主机进行扩散。下面列出的该后门程序一些关键特征,也与实际数据包展示的行为一致。

      • 特征点1:与C&C服务器vspcord.com:555端口建立TCP连接,连接成功后发送机器相关信息,等待接收命令,根据指令发送相关信息。
      • 特征点2:查找内网所有开放139、445端口的主机。并对这些主机进行IPC$暴力破解,破解程序将其复制到远程主机上,重命名为Eraseme_%d%d%d%d%d.exe(%d为1-9的随机数)。
      • 符合点1:TSA捕获中招主机与C&C服务器vspcord.com通讯行为。
      • 符合点2:TSA捕获的端口139流量中存访问主机的系统默认共享IPS$的流量。
      • 符合点3:TSA发现的eraseme.exe程序的命名方式也报告描述一致。

       

      6.4 价值

       

      主机被攻击后再被植入后门,用户是很难察觉到的。仅仅依靠防火墙、入侵检测系统,无法发现这些行为,只有采用全流量的回溯分析手段,才能发现这些隐蔽行为。

      本案例中描述的攻击行为发生在内网,由于传统的安全设备(Firewall、IPS)的部署区域和静态检测技术的限制,导致其无法发现此类后门攻击行为。TSA以全流量分析为核心,结合灵活的告警机制,可以实时监测后门类攻击,有效识别后门攻击过程中的流量特征,为用户提供应对该类攻击行为的有效检测和分析手段,弥补了现有安全体系的短板。

      免费测试申请及购买咨询

      您的名字 :

      您的手机 :

      您的邮箱 :

      公司名称 :

      您的职位 :

      公司地址 :

      网络规模 :

      购买用途 :

      补充留言:

      验证:

      九游会登录网站 - 首页

        <tr id="i5ror"><option id="i5ror"></option></tr>

        <code id="i5ror"></code>
        <big id="i5ror"><em id="i5ror"></em></big>
        <th id="i5ror"><option id="i5ror"></option></th>