当前的信息安全建设方案中,安全防护都是针对外部的,而对于内部的威胁却少有关注,尤其是内部主机可能存在通过其他途径被黑的情况,一旦被黑客控制成为“肉机”,可能会感染内部更多主机,对内部主机和网络资源造成影响,如果再被控制用来向外部发起攻击,后果影响就更为恶劣。
一起事件引发的思考
类似的情况越来越多出现在我们的客户中,近期我们就遇到多次相关事件,其中比较典型的一起是针对某高校的。该高校在不久前发现内网莫名出现异常,网络经常性出现短时间瘫痪,官网也时常出现无法访问的情况。该事件引起技术人员的重视,立即安排人员现场进行调查、取证和分析。但技术人员在定位问题的过程中遇到几个难题:
尝试新的思路取证分析
但该事件依然偶尔出现,极大影响了该高校的正常网络使用和服务器工作,最后通过尝试部署APT深度威胁分析设备尝试对流量进行分析,看看是否可以从中抓到一些异常行为。设备部署两周左右时间后,又接到客户反馈发现网络异常,技术人员立即查看APT设备日志分析,通过关联分析,迅速发现内网一台可疑主机192.168.X.X,这个IP会从几个地址下载linux架构的异常流量攻击和控制工具。
包含恶意程序的URL有:
http://X.7.239.254:8080/Json.dll http://X.kssws.ks-cdn.com/Json.dll http://X.kssws.ks-cdn.com/
打开其中一个恶意URL:
可以发现存在大量恶意的程序。使用ida打开恶意的json.dll看见大量恶意的指令,可以控制被黑“肉机”发起DDoS攻击,包含应用层和网络层各种DDoS攻击指令。
在浏览器打开该可疑主机http://192.168.X.X,发现是一台网站服务器:
基本可以判断是该服务器被入侵,并且已经植入了远程恶意控制程序,已经被控制为“肉机”,会从内部向外发起异常的流量型攻击和资源占用型攻击,在对外部发起攻击的同时也会影响到内网网络设备和防火墙的正常工作。技术人员立即对该服务器进行断网和恶意程序清除处理,继续长时间观察,发现网络异常事件再也没有出现。
事件总结和预防思路
通过该事件,我们总结出在信息安全建设过程中一定要重视以下几个方面: