网络莫名异常?都是“肉机”惹的祸

当前的信息安全建设方案中,安全防护都是针对外部的,而对于内部的威胁却少有关注,尤其是内部主机可能存在通过其他途径被黑的情况,一旦被黑客控制成为“肉机”,可能会感染内部更多主机,对内部主机和网络资源造成影响,如果再被控制用来向外部发起攻击,后果影响就更为恶劣。

一起事件引发的思考

类似的情况越来越多出现在我们的客户中,近期我们就遇到多次相关事件,其中比较典型的一起是针对某高校的。该高校在不久前发现内网莫名出现异常,网络经常性出现短时间瘫痪,官网也时常出现无法访问的情况。该事件引起技术人员的重视,立即安排人员现场进行调查、取证和分析。但技术人员在定位问题的过程中遇到几个难题:

  1. 事件爆发完全没有任何规律性,出现时间也不确定,无法确定是流量异常还是感染病毒导致的;
  2. 防火墙、交换机和部分内网主机的日志量极大,长时间分析仍没有任何被攻击的痕迹可寻,也无法断定攻击来源和类型;
  3. 在事件出现时进行抓包分析,依然存在实施难度大、不确定性高等问题,技术人员也不可能长期24小时在现场进行分析。

尝试新的思路取证分析

但该事件依然偶尔出现,极大影响了该高校的正常网络使用和服务器工作,最后通过尝试部署APT深度威胁分析设备尝试对流量进行分析,看看是否可以从中抓到一些异常行为。设备部署两周左右时间后,又接到客户反馈发现网络异常,技术人员立即查看APT设备日志分析,通过关联分析,迅速发现内网一台可疑主机192.168.X.X,这个IP会从几个地址下载linux架构的异常流量攻击和控制工具。

包含恶意程序的URL有:

http://X.7.239.254:8080/Json.dll http://X.kssws.ks-cdn.com/Json.dll http://X.kssws.ks-cdn.com/

打开其中一个恶意URL:

可以发现存在大量恶意的程序。使用ida打开恶意的json.dll看见大量恶意的指令,可以控制被黑“肉机”发起DDoS攻击,包含应用层和网络层各种DDoS攻击指令。

在浏览器打开该可疑主机http://192.168.X.X,发现是一台网站服务器:

基本可以判断是该服务器被入侵,并且已经植入了远程恶意控制程序,已经被控制为“肉机”,会从内部向外发起异常的流量型攻击和资源占用型攻击,在对外部发起攻击的同时也会影响到内网网络设备和防火墙的正常工作。技术人员立即对该服务器进行断网和恶意程序清除处理,继续长时间观察,发现网络异常事件再也没有出现。

事件总结和预防思路

通过该事件,我们总结出在信息安全建设过程中一定要重视以下几个方面:

  1. 重视对“威胁”的监控。对各种针对性的攻击进行监控,同时在网络出现异常后可以快速对之前的攻击数据进行分析,追踪定位攻击的来源和类型,以便进行及时处理;
  2. 重视对“内网”的监控。安全防护不仅要防护来自外部的攻击,对内部向外和内部区域之间的流量也需要进行实时监控,很多攻击事件的来源可能就在“内网”;
  3. 重视对“行为”的监控。安全威胁分析不能仅针对常规的攻击,对一些变种和0DAY威胁也需要进行监控,尤其是这些威胁的具体行为、可能产生的影响和攻击采用的手段,这样才可以对不同的事件针对性的追溯分析。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2016-07-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏V站

SEO丨网站内容多少与收录多少PY关系分析

简单明了,直接从个人建站经历即可得知,当我们第一次接触网站的时候,百度搜索自己的网站,是空荡荡的一片,文章积累到一定程度时,一段时间停止更新后,收录量会上一个层...

1903
来自专栏FreeBuf

欧洲信用卡终端机仍存在严重漏洞

当美国准备转向使用“芯片和密码”模型的信用卡交易时,欧洲还在开心的使用传统的更加安全的人工方式进行交易。但是,欧洲现在的信用卡交易方式出现问题是迟早的事。 摘...

2068
来自专栏听雨堂

首例利用智能路由网关犯罪嫌疑人被捕:罪名流量劫持

2303
来自专栏企鹅号快讯

Skygofree:卡巴斯基称其为史上功能最强大的Android间谍软件

“用指尖改变世界” ? 被称为Skygofree的Android间谍软件是专为有针对性的监控而设计的,据俄罗斯网络安全公司卡巴斯基实验室发布的一份报告描述,在过...

2226
来自专栏FreeBuf

安全公司新星Aorato推出“行为防火墙”

近日,安全公司新星Aorato新获1000万投资,推出基于行为的目录服务应用防火墙DAF(behavior-based Directory Services A...

1716
来自专栏企鹅号快讯

Python入门的准备工作

Python是近几年很火的一款软件,斑点鱼在刚开始找工作时就觉得Python很有用,所以在Codecademy和慕课网两个网站,把Python的框架都学了一遍。...

2439
来自专栏黑白安全

只需4步 入侵网吧摄像头

首先扫描一下192.168.0.1到192.168.0.255的段子 看一下是否开放8080端口!

2622
来自专栏程序员宝库

投票反对预装国产系统?联想辟谣;Git协议v2正式推出;英特尔、微软公布漏洞出现新变体;VS2017 15.8第一个预览版发布

继联想集团在 5G 标准投票中未投给华为之后,5 月 21 日,有媒体再次报道称,联想集团在中央某采购中心关于预装国产操作系统的投票会上投了反对票。该报道称,本...

2873
来自专栏FreeBuf

Emotet的演变:从银行木马到网络威胁分销商

有证据表明,Emotet背后的运营团队Mealybug已经从维护自己的自定义银行木马发展成为了其他组织的恶意软件的分销商。

1402
来自专栏FreeBuf

多款廉价Android手机再曝固件后门,联想手机也在其列

之前我们报道过两起Android手机暗藏漏洞的事件,而周一,来自俄罗斯杀软厂商Dr.Web(大蜘蛛)的研究人员又发现了暗藏漏洞的现象。 研究人员们发现,某些廉价...

2959

扫码关注云+社区

领取腾讯云代金券