极速飞艇官方网站 - 官网欢迎您!

 如何发现内网主机被植入后门

网络攻击事件描述:

在某政府单位进行的一次网络安全分析测试工作中,网络全流量分析系统 (简称“TSA”)通过对前段事件的网络流量进行全流量回溯分析,发现了内网主机/服务器被植入后门程序,在内网进扩散的行为。黑客通过技术手段绕过了防火墙、IPS等网络防御边界设备,主机服务器被控后黑客窃取了大量资料。如果不及时发现、阻断黑客窃密行为,那将造成难以估计的损失。值得思考的是为什么这些传统的网络安全设备无法发现黑客的攻击窃密行为?

网络分析过程:

经过前几天的数据收集及网络回溯分析,TSA产生大量的告警信息。分析发现,多条告警信息与IP X.X.56.120有关,需要对其进行数据挖掘与深度数据包解码分析。

网络安全内网主机被控图1

对可疑IP X.X.56.120进行多天(4.7-4.9)的流量回溯分析,都存在异常的流量突发,突发流量以CIFS协议(文件共享)居多。

网络安全内网主机被控图2

进一步深度挖掘数据包,精细分析可疑IP X.X.56.120与内网主机的可疑行为:

(1)嗅探对端主机操作系统版本

网络安全内网主机被控图3

上图中,可疑IP通过Netbios收集对端主机的操作系统版本信息。

(2)探测共享IPC$、ADMIN$

网络安全内网主机被控图4

网络安全内网主机被控图5

可疑IP主动探测大量地址的IPC$、ADMIN$。攻击者常会通过这些默认共享,发起一些如账户暴力破解等攻击行为,可能存在安全问题。

(3)外联服务器mail.vspcord.com

网络安全内网主机被控图6

服务器一般是主动响应客户端的连接请求。但上图数据显示,可疑内网服务器主动外联境外IP(葡萄牙),属于高危行为,需要密切关注的。

(4)释放程序eraseme_xxxx.exe程序

网络安全内网主机被控图9

可疑IP X.X.56.120随后主动向被攻击主机释放PE程序eraseme_XXXX.exe,通过多次抓包发现XXXX为随机数值。

分析结论

由于数据包中发现了PE实体程序eraseme_xxxx.exe,结合搜索的到资料,确定主机X.X.56.120被植入eraseme后门程序,并试图向内网其他主机进行扩散。以下列出该后门程序的一些关键特征,也与实际数据包展示的行为一致。
与C&C服务器mail.vspcord.com,555端口建立TCP连接,连接成功后发送机器相关信息,等待接收命令,根据指令发送相关信息。
查找内网所有开放139、445端口的主机。并对这些主机进行IPC$暴力破解,破解程序将其复制到远程主机上,重命名为Eraseme_%d%d%d%d%d.exe(%d为1-9的随机数),
符合点1:TSA捕获中招主机与C&C服务器mail.vspcord通讯行为;
符合点2:TSA捕获的端口139流量中存访问主机的系统默认共享IPS$的流量;
符合点3:TSA发现的eraseme.exe程序的命名方式也报告描述一致;

价值

被攻击后植入后门,是很难被察觉到的,仅仅依靠防火墙、入侵检测系统,是不能发现这些行为的,我们建议用户一定要采用全流量的回溯分析手段,才能发现这些隐蔽行为。
本案例中描述的攻击行为发生在内网,由于传统的网络安全设备(firewall、IPS)的部署区域和静态检测技术的限制,导致其无法发现此类后门攻击行为。TSA以全流量分析为核心,结合灵活的告警机制,可以实时监测后门类攻击,有效识别后门攻击过程中的流量特征,为用户提供了应对该类攻击行为的有效检测和分析手段,弥补了现有安全体系的短板。