IT技术互动交流平台

一次流量异常中发现主机被植入后门程序

发布日期:2016-05-23 20:24:02

后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序。本案例通过网络分析发现了一个带感染功能的后门程序,详细展现此后门程序的全部网络行为。

1事件描述

科来公司应某政府单位邀请,为其排除网络故障,通过科来网络全流量分析系统(简称“TSA”)的测试,并通过几日的全流量回溯分析同时结合TSA强大的安全告警功能,发现了内网主机被植入后门程序,存在内网进扩散的行为。2分析过程经过几天的数据收集及分析,TSA产生大量的告警信息,发现多条告警信息与IP X.X.56.120有关,需要对其进行挖掘与深度分析。

对可疑IP X.X.56.120进行多天的流量回溯分析,都存在异常的流量突发,突发流量以文件共享居多。

第一日突发流量组成

第二日突发流量组成

第三日突发流量组成

深度挖掘数据包,精细分析可疑IP X.X.56.120与内网主机的可疑行为。

嗅探对端主机操作系统版本

可疑IP通过Netbios收集对端主机的操作系统版本信息。

探测共享IPC$、ADMIN$

可疑IP主动探测大量地址的IPC$、ADMIN$,攻击者常会通过这些默认共享发起一些如账户暴力破解等攻击行为,可能存在安全问题。

外联服务器mail.vspcord.com

服务器一般是主动响应客户端的连接请求,但可疑内网服务器主动外联境外IP(葡萄牙),属于高危行为,需要密切关注。

释放程序eraseme_xxxx.exe程序

随后可疑IP X.X.56.120主动向被攻击主机释放PE程序eraseme_XXXX.exe,通过多次抓包发现XXXX为随机数值。

3分析结论

由于数据包中发现了PE实体程序eraseme_xxxx.exe,结合搜索的到资料,确定主机X.X.56.120被植入eraseme后门程序,并试图向内网其他主机进行扩散。以下列出该后门程序的一些关键特征,也与实际数据包展示的行为一致。

与C&C服务器mail.vspcord.com,555端口建立TCP连接,连接成功后发送机器相关信息,等待接收命令,根据指令发送相关信息。

  • 查找内网所有开放139、445端口的主机。并对这些主机进行IPC$暴力破解,破解程序将其复制到远程主机上,重命名为Eraseme_%d%d%d%d%d.exe(%d为1-9的随机数)

    符合点1:TSA捕获中招主机与C&C服务器mail.vspcord通讯行为;

    符合点2:TSA捕获的端口139流量中存访问主机的系统默认共享IPS$的流量;

    符合点3:TSA发现的eraseme.exe程序的命名方式也报告描述一致;

    4价值

    本案例中描述的攻击行为发生在内网,传统的安全设备(firewall、IPS)的部署区域和静态检测技术的限制,导致其无法发现后门类的攻击行为。TSA以全流量分析为核心结合灵活的告警机制,监测后门类攻击在其攻击过程中的流量特征,为用户提供了该类攻击行为的有效检测和分析手段,也弥补了现有安全体系的短板。

    Tag标签: 后门   流量   主机  
    • 专题推荐

    About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
    本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规