如何发现被植入后门的内网主机 -10bet十博欢迎您
6.1 问题描述
科来网络分析工程师在对某政府单位的网络进行测试时,通过科来网络全流量安全分析系统 (tsa)对前几天的网络流量进行全流量回溯分析,凭借tsa强大的安全告警功能,发现了内网主机被植入后门程序,并在内网进行扩散的行为。
6.2 分析过程
经过前几天的数据收集及分析,tsa产生大量的告警信息。分析发现多条告警信息与ip x.x.56.120有关,需要对其进行挖掘与深度分析。
图 6-1
对可疑ip x.x.56.120进行多天的流量回溯分析,都存在异常的流量突发,突发流量以cifs协议(文件共享)居多,下图为4月7日突发流量。
图 6-2
下图为4月8日突发流量。
图 6-3
下图为4月9日突发流量:
图 6-4
深度挖掘数据包,精细分析可疑ip x.x.56.120与内网主机的可疑行为:
嗅探对端主机操作系统版本
下图中,可疑ip通过netbios收集对端主机的操作系统版本信息。
图 6-5
-
探测共享ipc$、admin$
下方两图中,可疑ip主动探测大量地址的ipc$、admin$。攻击者常会通过这些默认共享,发起一些如账户暴力破解等攻击行为,可能存在安全问题。
图 6-6
图 6-7
-
外联服务器vspcord.com
服务器一般是主动响应客户端的连接请求。但下图数据显示,可疑内网服务器主动外联境外ip(葡萄牙),属于高危行为,需要密切关注的。
图 6-8
-
释放程序exe程序
下图数据显示,可疑ip x.x.56.120随后主动向被攻击主机释放pe程序eraseme_xxxx.exe,通过多次抓包发现xxxx为随机数值。
图 6-9
6.3 分析结论
由于数据包中发现了pe实体程序eraseme_xxxx.exe,结合搜集的资料,确定主机x.x.56.120被植入eraseme后门程序,并试图向内网其他主机进行扩散。下面列出的该后门程序一些关键特征,也与实际数据包展示的行为一致。
- 特征点1:与c&c服务器vspcord.com:555端口建立tcp连接,连接成功后发送机器相关信息,等待接收命令,根据指令发送相关信息。
- 特征点2:查找内网所有开放139、445端口的主机。并对这些主机进行ipc$暴力破解,破解程序将其复制到远程主机上,重命名为eraseme_%d%d%d%d%d.exe(%d为1-9的随机数)。
- 符合点1:tsa捕获中招主机与c&c服务器vspcord.com通讯行为。
- 符合点2:tsa捕获的端口139流量中存访问主机的系统默认共享ips$的流量。
- 符合点3:tsa发现的eraseme.exe程序的命名方式也报告描述一致。
6.4 价值
主机被攻击后再被植入后门,用户是很难察觉到的。仅仅依靠防火墙、入侵检测系统,无法发现这些行为,只有采用全流量的回溯分析手段,才能发现这些隐蔽行为。
本案例中描述的攻击行为发生在内网,由于传统的安全设备(firewall、ips)的部署区域和静态检测技术的限制,导致其无法发现此类后门攻击行为。tsa以全流量分析为核心,结合灵活的告警机制,可以实时监测后门类攻击,有效识别后门攻击过程中的流量特征,为用户提供应对该类攻击行为的有效检测和分析手段,弥补了现有安全体系的短板。