网络莫名异常?都是“肉机”惹的祸
当前的信息安全建设方案中,安全防护都是针对外部的,而对于内部的威胁却少有关注,尤其是内部主机可能存在通过其他途径被黑的情况,一旦被黑客控制成为“肉机”,可能会感染内部更多主机,对内部主机和网络资源造成影响,如果再被控制用来向外部发起攻击,后果影响就更为恶劣。
一起事件引发的思考
类似的情况越来越多出现在我们的客户中,近期我们就遇到多次相关事件,其中比较典型的一起是针对某高校的。该高校在不久前发现内网莫名出现异常,网络经常性出现短时间瘫痪,官网也时常出现无法访问的情况。该事件引起技术人员的重视,立即安排人员现场进行调查、取证和分析。但技术人员在定位问题的过程中遇到几个难题:
- 事件爆发完全没有任何规律性,出现时间也不确定,无法确定是流量异常还是感染病毒导致的;
- 防火墙、交换机和部分内网主机的日志量极大,长时间分析仍没有任何被攻击的痕迹可寻,也无法断定攻击来源和类型;
- 在事件出现时进行抓包分析,依然存在实施难度大、不确定性高等问题,技术人员也不可能长期24小时在现场进行分析。
尝试新的思路取证分析
但该事件依然偶尔出现,极大影响了该高校的正常网络使用和服务器工作,最后通过尝试部署APT深度威胁分析设备尝试对流量进行分析,看看是否可以从中抓到一些异常行为。设备部署两周左右时间后,又接到客户反馈发现网络异常,技术人员立即查看APT设备日志分析,通过关联分析,迅速发现内网一台可疑主机192.168.X.X,这个IP会从几个地址下载linux架构的异常流量攻击和控制工具。
包含恶意程序的URL有:
http://X.7.239.254:8080/Json.dll http://X.kssws.ks-cdn.com/Json.dll http://X.kssws.ks-cdn.com/
打开其中一个恶意URL:
可以发现存在大量恶意的程序。使用ida打开恶意的json.dll看见大量恶意的指令,可以控制被黑“肉机”发起DDoS攻击,包含应用层和网络层各种DDoS攻击指令。
在浏览器打开该可疑主机http://192.168.X.X,发现是一台网站服务器:
基本可以判断是该服务器被入侵,并且已经植入了远程恶意控制程序,已经被控制为“肉机”,会从内部向外发起异常的流量型攻击和资源占用型攻击,在对外部发起攻击的同时也会影响到内网网络设备和防火墙的正常工作。技术人员立即对该服务器进行断网和恶意程序清除处理,继续长时间观察,发现网络异常事件再也没有出现。
事件总结和预防思路
通过该事件,我们总结出在信息安全建设过程中一定要重视以下几个方面:
- 重视对“威胁”的监控。对各种针对性的攻击进行监控,同时在网络出现异常后可以快速对之前的攻击数据进行分析,追踪定位攻击的来源和类型,以便进行及时处理;
- 重视对“内网”的监控。安全防护不仅要防护来自外部的攻击,对内部向外和内部区域之间的流量也需要进行实时监控,很多攻击事件的来源可能就在“内网”;
- 重视对“行为”的监控。安全威胁分析不能仅针对常规的攻击,对一些变种和0DAY威胁也需要进行监控,尤其是这些威胁的具体行为、可能产生的影响和攻击采用的手段,这样才可以对不同的事件针对性的追溯分析。