极速飞艇官方网站 - 官网欢迎您!

如何找出内网主机被控

 

这是一个非常重要的问题,内网哪些主机被控了。我们知道,入侵者对服务器的攻击几乎都是从扫描开始的。攻击者首先判断服务器是否存在,进而探测其开放的端口和存在的漏洞,然后根据扫描结果采取相应的攻击手段实施攻击。通常防火墙等安全设备,会拦截来自外部的扫描攻击,但是内部主机被控并对外进行扫描而进行渗透攻击,传统安全手段往往不能及时发现,也就起不到防护作用。

这时,如果拥有的支持,通过对底层数据包的回溯分析,攻击的来龙去脉,便可一目了然。

1.1 问题描述

网络分析专家就有很多这样的真实案例,在例行为某大型行业用户进行网络安全检查服务中,发现该用户的一台服务器(*.77)有大量扫描流量,疑似被感染病毒。该用户将网络回溯分析系统部署在内网的核心交换机上,对经过该核心交换机的流量,进行监控与回溯分析。 网络分析专家选择适当的时间窗口、特定时间段之后进行透视分析,从而进一步判定该异常网络行为的性质,力求为用户提供可靠的安全保障措施。

1.2 分析过程

图 1‑1

一般情况下,正常的内网TCP同步包与TCP同步确认包之间的比值应为1:1,但当TCP同步包远大于同步确认包时,说明网络可能存在扫描行为。

通过视图可以看到在13:32之前,*.77通讯的IP地址只有34个,同步包与同步确认包数量很少,并且基本相等,因此不存在扫描行为。

图 1‑2

图 1‑3

然而,*.77每隔6秒主动发起一次对118.193.228.240的连接,直到13:14:24连接成功。从数据流的解码中我们可以看到rdpdr,rdpsnd,drdynvc和cliprdr等名字,而这些名字都是FreeRDP库的名字。FreeRDP是一个免费开源实现的一个远程桌面协议(RDP)工具,用于从Linux下远程连接到Windows的远程桌面。

图 1‑4

图 1‑5

建立远程桌面后,13:16,*.77开始访问117.18.15.32,可以看到这个网站上有各种常用的黑客软件,如上图。

图 1‑6


图 1‑7


图 1‑8

图 1‑9

*.77从这个服务器上下载了DToolsSQL、ntscan、hsan、ssh爆破等各种黑客软件,如上图。

图 1‑10

13:32到13:36,IP数猛增到15000+,同步包也开始与同步确认包出现较大差值,扫描开始,如上图。


图 1‑11

*.77扫描内网地址,每个地址发2个TCP同步包,由于扫描的地址大多数不存在因此不能得到回应,所以会造成上文提到的同步包与同步确认包出现较大差值,如上图。


图 1‑12

当扫描到存在的IP地址时,如下图(以*.71为例):三次握手建立成功后,*.77会直接发RST包断开连接,继续扫描后面的IP地址,但*.71会被记录下来用于进行后续攻击,如上图。

图 1‑13

接着*.77开始扫描*.71的一些常用端口,确定*.71开了哪些端口可以用于进行后续攻击,上图中看到只有80端口的会话有7个数据包,说明有过回包。


图 1‑14

端口扫描结束,*.77会对*.71打开的端口进行漏洞测试,尝试找到漏洞进行入侵。

1.3 分析结论及建议

通过上述透视分析,可以确定*.77已经被黑客控制,并且黑客正在以此为跳板尝试向内部入侵。建议该用户的网络安全管理人员,即刻禁止*.77访问上文中提到的外网IP及端口(118.193.228.240 TCP 1718,117.18.15.32等),并对*.77进行处理。

1.4 价值

通过本案例我们可以看到,利用网络回溯分析技术,通过对特定流量的简单分析,便可定位到被控的问题主机,判断出该异常行为是否为恶性网络安全事件,并通过追踪溯源,成功阻止了入侵者的进一步计划,避免内网的主机信息泄漏,同时成为黑客的攻击武器。