这个事件在SIP中也经常出现,指的是主机访问恶意文件类URL去下载恶意程序的一个可疑行为,当可疑行为发生时,该主机可能已经沦陷,有以下危害:
主机感染病毒,沦为肉鸡,个人信息被泄漏;主机感染病毒,沦为肉鸡,对外发起攻击,可能被监管单位通报。
传播途径
恶意链接指互联网上提供的可疑文件下载链接,当用户在不知情的情况下访问此链接,会自动下载恶意文件,在用户不知情的情况下,打开运行,最终导致主机感染病毒。该行为基本都是恶意程序发起的,少情况下是黑客入侵之后发起的。
可以类同僵尸网络进行分析判断,不过该事件有更大可能是用户自己主动去下载了盗版软件或者不正规软件导致,可以先判断下访问的域名是否是盗版软件网站,也可以询问用户来加以辅助判断。
3.蠕虫病毒
蠕虫是一种通过网络传播的恶性病毒,它具有普通病毒的一些共性,如传播性,隐蔽性,破坏性等,同时具有自身特性,如利用文件寄生(有的存在于内存中)对网络造成拒绝服务(Dos),蠕虫病毒可以在超短时间蔓延整个网络,造成网络的瘫痪。与上面两个病毒不太一样的是,有的蠕虫病毒不会跟互联网进行交互。所以难以直接通过流量来判断是否是蠕虫病毒。
传播途径:
蠕虫病毒可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。
当蠕虫具有互联网特征时,例如飞客蠕虫,判断方法如僵尸网络一样,通过域名判断,基本没有误报。
当蠕虫没有互联网特征时,只是恶意的在局域网不断传播,就有一些行为特征,目前主流的传播方式有以下两种:
1}暴力破解
2}永恒之蓝漏洞利用
除此之外,还可以通过电脑是否有卡顿等现象来判断。
暴力破解
可参照之前的暴力破解事件处理
深信服安全感知平台只是通过流量发现该主机存在爆破行为,但无法准确分析出是该主机的业务异常触发的爆破行为,还是病毒行为。
处置建议:
1}修改主机密码为强密码(密码大于8位数,包含字母大小写、数字和符号
2}使用蠕虫病毒专杀进行病毒查杀
4.挖矿病毒
挖矿病毒可以理解为僵尸网络的一种,不过它的目的很明确,就是占用系统资源去挖矿。
当主机已被黑客控制,沦为肉鸡,挖矿病毒会大量耗费CPU资源,也存在以下风险:
1}造成机密信息被窃取,比如机密文件、关键资产的用户名和密码等;
2}主机作为“肉鸡”攻击互联网上的其他单位,违反网络安全法,遭致网信办、网安等监管单位的通报处罚
传播途径:
1}钓鱼邮件,恶意代码伪装在邮件附件中,诱使打开附件感染病毒。
2}其他不知名网站上下载了被植入了挖矿病毒的恶意程序(如激活工具等)。
3}利用永恒之蓝漏洞(MS17-010)等系统漏洞进行传播。
4}通过暴力破解RDP-3389端口、SSH-22端口、文件共享-445端口、数据库端口-1433等控制主机,获取管理员权限后上传病毒程序执行。
1}挖矿病毒的告警是基于互联网通信时的域名判断,基本不存在误报。
2}若想验证的话可以将通信的域名输入微步在线进行恶意域名的分析。
3}这边也建议防火墙和态势感知及时升级相关库
挖矿病毒处置:
5.永恒之蓝漏洞攻击
永恒之蓝漏洞是微软windows系统一个普遍存在的漏洞,利用的是445的文件共享端口,老机器在不打补丁的情况下都默认存在这个漏洞。
2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。五个小时内,包括英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
该漏洞攻击特征较为明显,不存在误报。
永恒之蓝漏洞攻击处置
当SIP平台有此告警之后,可以确定的是该机器已经中病毒或被黑客利用。可参照之前的各类病毒处置手法进行处置。
另外,针对该漏洞可以采取以下几种手法进行修补:
1}关闭445高危端口
2}系统打上微软的MS17-010补丁,根源上修复漏洞
3}做好区域隔离,防止该漏洞被利用
使用EDR杀软进行查杀或者专业的僵尸网络查杀工具。
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
勒索病毒现在可以分成两种,一种是类似僵尸网络的机械化投放的,可以按照之前的僵尸网络进行处理和分析。
另一种是黑客投放,这个建议平时加强防护,分析的话对专业要求比较高。一旦发现建议立即联系安全厂商进行应急响应。
二、安全加固
1.主机加固
1}主机关闭没必要的风险端口(如TCP 135、139、445、UDP 137、138)
2}主机定期进行病毒查杀,并定期修改密码(密码8位数以上,包含数字字母符号)。
3}主机关闭文件共享服务
4}安装永恒之蓝漏洞补丁,防止主机因漏洞被其他主机攻击而持续感染病毒、也可通过EDR热补丁进行修复.
2.安全意识
1}不随意打开来历不明的邮件及附件;
2}不随意下载或打开来历不明的文件,不随意浏览恶意网站。
3}不要私自搭接双网卡,将内外网互通
4}不要私自搭建代理将内网高危端口映射到公网
3.辅助加固
对业务资产系统定期进行漏洞扫描、基线核查、渗透测试、系统加固、漏洞修复、Web漏洞扫描。
三、HVV建议
HVV或攻防演练场景对实时性要求较高,建议使用重保中心模块的实时告警分析模块,常用刷新间隔和重保配置
重保配置:
默认情况下重保中心是对全网流量进行分析,如果负担比较大,或者想把靶标或者对外可访问的业务系统单独做一个区分就可以使用重保配置来设置,不过需注意红框内容。
告警分析:
分析的所有事件会聚合到下面方便研判,点开可以看到详细信息,重保的一个优势就是会将同一段时间的所有类似行为做聚合,比如爆破行为就直接统计爆破了多少次等。
另外右边可以联动各个设备进行处置,常用的联动防火墙封IP,联动EDR杀毒等。
内外部威胁:
主要通过事件标签来判断,也是通过这个地方来区分内网的病毒种类,好做到专项专杀
态势感知还可以通过被动的流量发现一些网站存在的问题和风险,因为暂未被利用,所以称为脆弱性,因为是被动收集的,不能保证完全发现和准确率,其中弱密码较为常用。
最详细,最原生的日志就在这个日志检索模块,无论是日常分析还是重保分析,都可以来这个地方进行最终的分析,建议通过时间和源目IP来筛选
这个地方还可以进行日志上的统计和分类,筛选安全检测日志之后下面会有各个类别的统计
潜伏威胁黄金眼同样也可用形成多维的威胁系统展示,特别是在HVV下潜伏威胁黄金眼绝对是你的第一大助力。
相应工具拓展:
以上就是本次的HVV精心制作助力之常见攻击手段及处理第二篇,本篇主要是相对深入一些,介绍了内网常见的威胁处理方式以及加固方式等等,截至第二篇,对于HVV的助力就到此结束了,两篇均为精心制作篇幅 较长,但是耐心看完一定有用,感谢大佬们的参阅,此贴先到这里后续会带上更加优质的帖子,感谢大家!
励志分享超清壁纸语句~~:
各位舰长,星门已开,伊甸将至,诱导已亮,前方净空,准许跃迁,祝君武运昌隆,点亮星空,燃尽星河!!
好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员3级 
