如何发现被植入后门的内网主机
6.1 问题描述
科来网络分析工程师在对某政府单位的网络进行测试时,通过科来网络全流量安全分析系统 (TSA)对前几天的网络流量进行全流量回溯分析,凭借TSA强大的安全告警功能,发现了内网主机被植入后门程序,并在内网进行扩散的行为。
6.2 分析过程
经过前几天的数据收集及分析,TSA产生大量的告警信息。分析发现多条告警信息与IP X.X.56.120有关,需要对其进行挖掘与深度分析。
图 6-1
对可疑IP X.X.56.120进行多天的流量回溯分析,都存在异常的流量突发,突发流量以CIFS协议(文件共享)居多,下图为4月7日突发流量。
图 6-2
下图为4月8日突发流量。
图 6-3
下图为4月9日突发流量:
图 6-4
深度挖掘数据包,精细分析可疑IP X.X.56.120与内网主机的可疑行为:
嗅探对端主机操作系统版本
下图中,可疑IP通过Netbios收集对端主机的操作系统版本信息。
图 6-5
-
探测共享IPC$、ADMIN$
下方两图中,可疑IP主动探测大量地址的IPC$、ADMIN$。攻击者常会通过这些默认共享,发起一些如账户暴力破解等攻击行为,可能存在安全问题。
图 6-6
图 6-7
-
外联服务器vspcord.com
服务器一般是主动响应客户端的连接请求。但下图数据显示,可疑内网服务器主动外联境外IP(葡萄牙),属于高危行为,需要密切关注的。
图 6-8
-
释放程序exe程序
下图数据显示,可疑IP X.X.56.120随后主动向被攻击主机释放PE程序eraseme_XXXX.exe,通过多次抓包发现XXXX为随机数值。
图 6-9
6.3 分析结论
由于数据包中发现了PE实体程序eraseme_xxxx.exe,结合搜集的资料,确定主机X.X.56.120被植入eraseme后门程序,并试图向内网其他主机进行扩散。下面列出的该后门程序一些关键特征,也与实际数据包展示的行为一致。
- 特征点1:与C&C服务器vspcord.com:555端口建立TCP连接,连接成功后发送机器相关信息,等待接收命令,根据指令发送相关信息。
- 特征点2:查找内网所有开放139、445端口的主机。并对这些主机进行IPC$暴力破解,破解程序将其复制到远程主机上,重命名为Eraseme_%d%d%d%d%d.exe(%d为1-9的随机数)。
- 符合点1:TSA捕获中招主机与C&C服务器vspcord.com通讯行为。
- 符合点2:TSA捕获的端口139流量中存访问主机的系统默认共享IPS$的流量。
- 符合点3:TSA发现的eraseme.exe程序的命名方式也报告描述一致。
6.4 价值
主机被攻击后再被植入后门,用户是很难察觉到的。仅仅依靠防火墙、入侵检测系统,无法发现这些行为,只有采用全流量的回溯分析手段,才能发现这些隐蔽行为。
本案例中描述的攻击行为发生在内网,由于传统的安全设备(Firewall、IPS)的部署区域和静态检测技术的限制,导致其无法发现此类后门攻击行为。TSA以全流量分析为核心,结合灵活的告警机制,可以实时监测后门类攻击,有效识别后门攻击过程中的流量特征,为用户提供应对该类攻击行为的有效检测和分析手段,弥补了现有安全体系的短板。