2020年全国两会即将召开,相关的网络安全重保工作也正在紧锣密鼓、步步深入的部署、落实过程中。为保障重保期间安全万无一失,针对可疑主机,快速整合各种纷乱的线索,并进行关联分析、线索扩展、分类组合,以完整的证据链集还原整个攻击事件,快速准确排查与消除主机风险,成为一线网络安全人员工作的关键。
顺应大家的关注重点,本期我们分享一个去年新中国成立70周年网络安全保障期间的实战案例,从主机安全角度讲述,如何快速排查可疑主机、定位问题、应急处置,切实做好重保期间的网络安全保障工作。
案例背景:新中国成立70周年网络安全重要保障在我国重大活动和敏感时期,攻击者活动更为频繁与猖獗,重点单位遭受网络攻击的风险骤增。为保障新中国成立70周年重要时期网络与信息系统的安全稳定运行,中睿天下受石油某单位邀请参与网络安全现场保障工作,全面协助进行网络攻击发现预警、威胁应急响应及终端检查取证等工作。为提高重大活动保障期间整体的网络安全防护水平,该单位在部署睿眼·web、睿眼·网络的同时,利用睿眼·主机取证溯源系统,对发现的可疑终端进行深度取证溯源分析,通过完整的证据链集快速排查威胁事件并准确定位问题,以便立即采取措施进行处置,降低攻击事件带来的损失。
实战案例:发现十余起ZombieBoy挖矿木马事件重保期间,睿眼·网络版监测发现该单位总部某网管服务器、二级单位某研究院终端、下辖单位某终端等多台主机有扫描外网IP445端口的异常行为。以其中某一台可疑主机为例,我们来还原整个排查过程。起初,网安人员使用已部署的某知名杀毒软件查杀,并未发现异常。通过睿眼·主机取证溯源系统采集分析的相关数据后,网安人员最终确认这些主机均感染ZombieBoy挖矿木马。
睿眼·主机发现多项威胁
文件检测告警睿眼·主机对文件系统元数据进行深入分析时,发现可疑主机的C:WindowsAppDiagnostics目录下均为病毒文件,文件创建时间即为病毒植入时间。我们发现,早在2017年4月该主机便感染了病毒,2年来一直未曾被发现。通过联动威胁情报匹配病毒文件的MD5值,网安人员初步确认可疑主机感染ZombieBoy挖矿木马。
病毒文件MD5值
网络检测告警通过详细采集并分析运行进程的各项数据,检查运行程序对外连接的网络情况,分析异常的网络连接情况,进一步确认攻击行为。
发现恶意网络程序
发现大量的网络外连
主机缺陷检测告警在检查主机是否存在弱口令、空口令、重要补丁安装情况等问题时,睿眼·主机发现该可疑主机未安装MS17-010等漏洞补丁。结合ZombieBoy挖矿木马的传播方式,进一步验证该病毒通过这些漏洞进行感染。该可疑主机感染原因为,开启445端口,同时没打补丁。
发现未打的重要补丁
处理方法1、 断网2、 安装ms17010等补丁/ 重装较高版本的操作系统3、 如无相关业务需要,关闭445端口
结论ZombieBoy挖矿木马是一款集传播、远控、挖矿功能为一体的混合型木马,会释放端口扫描器及“永恒之蓝”等工具,并利用“永恒之蓝”工具感染内网中尚未修复MS17-010漏洞的主机,进而展开远程桌面、键盘记录、后门、挖矿等木马行为。挖矿木马挖矿时会大量占用设备资源和硬件,威胁用户信息系统的正常运行。但未进行挖矿操作时,挖矿木马的隐蔽性非常好,难以被发现,同时会持续入侵更多的计算机建立庞大的傀儡计算机网络,是巨大的网络安全隐患。睿眼·主机从攻击者视角出发,针对黑客活动进行深度检查,检测范围包括文件系统、启动项、内存进程、系统日志、注册表、主机缺陷、用户痕迹、固件、网络等,全面覆盖可能的黑客攻击行为。针对每一种检测范围,通过上下文联动分析、威胁情报、事件溯源、快照比对等技术,更精准地发现识别主机中存在的木马、后门、黑客入侵痕迹等,并溯源分析还原黑客事件。
