2.1　問題描述

網(wǎng)絡分析工程師在對某政府單位的網(wǎng)絡進行測試時，通過科來網(wǎng)絡全流量安全分析系統(tǒng) （TSA）對前幾天的網(wǎng)絡流量進行全流量回溯分析，憑借TSA強大的安全告警功能，發(fā)現(xiàn)了內(nèi)網(wǎng)主機被植入后門程序，并在內(nèi)網(wǎng)進行擴散的行為。

2.2　分析過程

經(jīng)過前幾天的數(shù)據(jù)收集及分析，TSA產(chǎn)生大量的告警信息。分析發(fā)現(xiàn)多條告警信息與IP X.X.56.120有關(guān)，需要對其進行挖掘與深度分析。

對可疑IP X.X.56.120進行多天的流量回溯分析，都存在異常的流量突發(fā)，突發(fā)流量以CIFS協(xié)議（文件共享）居多，下圖為4月7日突發(fā)流量。

下圖為4月8日突發(fā)流量。

下圖為4月9日突發(fā)流量：

深度挖掘數(shù)據(jù)包，精細分析可疑IP X.X.56.120與內(nèi)網(wǎng)主機的可疑行為：

嗅探對端主機操作系統(tǒng)版本

下圖中，可疑IP通過Netbios收集對端主機的操作系統(tǒng)版本信息。

• 探測共享IPC$、ADMIN$

下方兩圖中，可疑IP主動探測大量地址的IPC$、ADMIN$。攻擊者常會通過這些默認共享，發(fā)起一些如賬戶暴力破解等攻擊行為，可能存在安全問題。

• 外聯(lián)服務器vspcord.com

服務器一般是主動響應客戶端的連接請求。但下圖數(shù)據(jù)顯示，可疑內(nèi)網(wǎng)服務器主動外聯(lián)境外IP（葡萄牙），屬于高危行為，需要密切關(guān)注的。

• 釋放程序exe程序

下圖數(shù)據(jù)顯示，可疑IP X.X.56.120隨后主動向被攻擊主機釋放PE程序eraseme_XXXX.exe，通過多次抓包發(fā)現(xiàn)XXXX為隨機數(shù)值。

2.3　分析結(jié)論

由于數(shù)據(jù)包中發(fā)現(xiàn)了PE實體程序eraseme_xxxx.exe，結(jié)合搜集的資料，確定主機X.X.56.120被植入eraseme后門程序，并試圖向內(nèi)網(wǎng)其他主機進行擴散。下面列出的該后門程序一些關(guān)鍵特征，也與實際數(shù)據(jù)包展示的行為一致。

• 特征點1：與C&C服務器vspcord.com:555端口建立TCP連接，連接成功后發(fā)送機器相關(guān)信息，等待接收命令，根據(jù)指令發(fā)送相關(guān)信息。

• 特征點2：查找內(nèi)網(wǎng)所有開放139、445端口的主機。并對這些主機進行IPC$暴力破解，破解程序?qū)⑵鋸椭频竭h程主機上，重命名為Eraseme_%d%d%d%d%d.exe（%d為1-9的隨機數(shù)）。

• 符合點1：TSA捕獲中招主機與C&C服務器vspcord.com通訊行為。

• 符合點2：TSA捕獲的端口139流量中存訪問主機的系統(tǒng)默認共享IPS$的流量。

• 符合點3：TSA發(fā)現(xiàn)的eraseme.exe程序的命名方式也報告描述一致。

2.4　價值

主機被攻擊后再被植入后門，用戶是很難察覺到的。僅僅依靠防火墻、入侵檢測系統(tǒng)，無法發(fā)現(xiàn)這些行為，只有采用全流量的回溯分析手段，才能發(fā)現(xiàn)這些隱蔽行為。

本案例中描述的攻擊行為發(fā)生在內(nèi)網(wǎng)，由于傳統(tǒng)的安全設備（Firewall、IPS）的部署區(qū)域和靜態(tài)檢測技術(shù)的限制，導致其無法發(fā)現(xiàn)此類后門攻擊行為。TSA以全流量分析為核心，結(jié)合靈活的告警機制，可以實時監(jiān)測后門類攻擊，有效識別后門攻擊過程中的流量特征，為用戶提供應對該類攻擊行為的有效檢測和分析手段，彌補了現(xiàn)有安全體系的短板。