×

【排障那些事】你的安全软件正在攻击你的业务服务器
  

adds 11745

{{ttag.title}}
本帖最后由 adds 于 2024-8-22 14:05 编辑

一、问题描述
1.1  问题
  **信安全监测平台发现单位部分内网PC192.168.x.x)有对外发起扫描探测行为,存在安全隐患。
     现场值守人员建议对相关设备或系统进行隐患排查,避免攻击者利用失陷设备或系统做进一步攻击。
1.2 我方职责
  我方是客户驻场运维单位,主要是负责客户的基础网络和桌面,辅助客户进行安全运维。
  我是8月9日16时30分接到的通知,属于被拉过去充人头兼开盲盒的。
  说出来你可能不信,实际上就是这么荒谬。
   
   

二、告警信息
    这个告警信息就是在**信安全监测平台上监测到大批量成规模的内网扫描探测行为。
    告警信息由于是在**信安全监测平台上,不属于我的排查范围,但我在终端上找到了扫描软件。
    就是标红的这个"NMAP.exe-77300172.pf"这个,在这个时间点,大量电脑的C:\windows\prefetch出现该软件,且对外发起扫描行为。
   

三、处理过程
    3.1  现场情况
    我到达客户现场已经是下午5点半了,当时下着不小的雨(当天火车站好多车都停运了),当时已经有两个安全厂商的人在现场了,一个是**信,一个是*天(大概是这么个名字,太小众记不太清了)。
    当时在一个大办公室里,在一台显示器前有两男一女不知在嘀嘀咕咕啥,客户看见我过来了,说**信有进展了,想让我也一起分析分析,我一看这环境,我也插不上手啊。就说,我先看下发起攻击的终端电脑吧,发起攻击的电脑很多,随便找了台没人的电脑,然后开始排查。
    3.2  PC机信息
     1)IP
     192.168.*.*
     2)操作系统
     Windows 7 SP1
     3)行为表现
     在**信安全监测平台发现PC有对外发起扫描行为。
    3.3 系统监听端口
    服务器有开启RDP等协议的高危服务端口。
     
     3.4  系统安全日志排查
     未排查到PC机有暴力破解日志:
      
      系统日志未发现规律性的登录失败日志:
      
      3.5  系统用户
      未发现有新增用户或修改用户密码的情况。
      
    3.6  全盘查杀病毒。
     使用电脑自身的杀软未查杀出病毒。
      
      我们将“*.pf”文件导出,使用火绒查杀未发现病毒,后续上传到多个第三方网站,反馈均无毒。
      
     3.6  进程排查。
     未发现可疑进程。
      
      3.7  启动项检查。
     未发现可疑项。
      
     3.7  任务计划。
     未发现可疑计划。
     

四、根因
     **信的终端杀毒软件开启了终端自动发现功能,该功能会向终端电脑下发一个“NMAP”开头的扫描软件,**信的安全监测平台检测到的终端扫描行为即“NMAP”开头的扫描软件发起的。

五、解决方案
     关闭**信的终端自动发现功能即可。

六、建议与总结
     6.1  建议
     1)**信的安全测评平台的扫描阈值设置高些儿,或者**信的终端杀毒软件的扫描阈值设置的低些儿,避免同一厂商两个产品打架。
     2)**信的内部通路有堵塞,从厂商安全人员介入到判断出问题原因所在,至少用了3个小时的时间。建议后续打通内部壁垒,建立好产品的FAQ。
      6.2  总结
      2024年8月9日16时30分我司接客户反馈以下信息:**信监测平台发现单位部分内网PC(192.168.x.x)有对外发起扫描探测,存在安全隐患。值守人员建议对相关设备或系统进行隐患排查,避免攻击者利用失陷设备或系统做进一步攻击。
      2024年8月9日17时30分到现场进行排查,发现出现问题的终端已经采取了断网操作,并在进行了消杀操作,未发现病毒及攻击行为。
       经排查未发现PC终端有感染病毒文件以及其他异常行为。
       **信安全监测平台发现的攻击行为是由**信终端杀毒软件下发的策略导致的。

七、插曲
     7.1  反复
     在6点左右,接同事反馈,说我们先不用查了,**信说是他们下发文件引起的问题,于是我们就放松了下来,有人领锅当然是件值得高兴的事。然而没过多一会儿,**信说还要再确认下,有可能不是他们下发的文件,于是我们又闷头呼哧干了起来。
     7.2  老工程师
     我在17时30分到达客户现场后,听现场值守的同事说,还有一个老工程师要过去,老工程师大概19时到了现场,我们称为老王吧。老王很自信,到了现场就指点江山,跟客户说,网络就那点事,先杀毒,杀不出来就重装系统,然后跟驻场工程师说,先将PC上的病毒文件删除,然后关机重启,跟**信说,你们先把终端杀毒的网线拔了,我们观察下PC终端上文件是否还会生成。
     老王操作完,然后说,等吧。在等的过程,老王说,当年我跟刘强东、雷军、周红衣都认识,你是知道的吧?当时他们都是在中关村那块,那时那地界都是平房....老王:我跟你实话实说,**信的杀毒软件是真不错,我就一直推荐客户用,咱们单位用**信说明我们单位的眼光f真不错,真不错。
     等了一会儿,**信前来领锅,说锅是我的,大家不要抢了,是我们的杀毒软件下发了扫描软件对外发起了扫描行为。
     我心里是很服气的。
      7.3   尴尬
      在平常处理问题时,就怕自已家设备打架的问题。比如,SIP上显示终端报毒了,EDR杀不出来;AF显示服务器被有外连,EDR杀不出来。
       但和这次相比,那就是尴尬他妈给尴尬开门,尴尬到家了。
       **信:领导,安全监测平台显示多终端发起扫描的问题我们已经找到了原因了。
       领导:好。什么原因呢?
       **信:我们的终端杀毒下发了扫描软件,然后对外发起了扫描行为。
      

打赏鼓励作者,期待更多好文!

打赏
27人已打赏

牛风喜 发表于 2024-8-21 09:53
  
安全软件正在攻击你的业务服务器
何茂源 发表于 2024-8-22 13:27
  
感谢分享,有助于工资和学习!
新手678795 发表于 2024-8-22 13:36
  
感谢分享,有助于工资和学习!
何东升 发表于 2024-8-22 13:40
  
感谢分享,有助于工资和学习!
jan 发表于 2024-8-22 14:27
  

感谢分享,有助于工资和学习!
嘀嘀柠柠 发表于 2024-8-23 05:29
  
每天坚持打卡学习签到!!
王蒙召 发表于 2024-8-23 08:18
  
每天坚持打卡学习签到!!
韩_鹏 发表于 2024-8-23 08:50
  
感谢分享                                         
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
干货满满
每日一问
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
安装部署配置
功能体验
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
每周精选
深信服技术支持平台
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人