本帖最后由 SANGFOR_HZ 于 2023-8-19 01:40 编辑
XXXX房产管理局木马和僵尸网络事件问题分析处置报告
一、事件背景 XXXX房地产管理局收到XXXX网信办的通报通知,说是本单位的主机在访问恶意域名i.haqo.net,目标IP地址为72.52.178.23。当前需要确认定位到内网的具体主机,并对其进行处置上报。
二、排查定位1、在防火墙上针对该目的地址72.52.178.23抓包,发现没有抓到对应的数据包,可能是内部主机未访问该地址。 2、查看防火墙的僵尸网络日志,发现有内网主机在访问恶意域名,如下图所示: 3、通过僵尸网络日志发现主机192.168.0.151在访问恶意域名v.beahh.com,通过第三方微步在线分析,发现该域名确实为恶意域名,如下图所示: 4、通过僵尸网络日主机192.168.0.155在访问恶意域名ii.haqo.net,该域名跟通报域名很相似。通过 第三方微步在线工具进行查看域名情况如下: 进一步查看域名ii.haqo.net解析地址如下:
发现解析地址正好是72.52.178.23地址。所以基本判断该主机就是被通报内网主机访问恶意域名的主机。 5、通过僵尸网络日志可以看到内网主机192.168.0.155在尝试解析恶意域名ii.haqo.net,说明没有解析成功,所以第一步抓包抓目的地址72.52.178.23的时候没有抓取到数据包。 6、查看防火墙的规则库,发现规则库已过保,如下图所示:
三、当前加固处置 1、对当前访问恶意域名的物理主机进行断网,并安装杀毒软件进行查杀。 2、新增对恶意域名拦截策略: (1)自定义恶意域名URL: (2)新增内容安全对恶意域名和非法网站的拦截: (3)新增安全防护策略: 3、对恶意公网地址加入黑名单: 4、增加地域控制策略,只允许国内访问,拒绝国外攻击:
四、加固建议1、防火墙升级规则库过期,并且防火墙版本过低,建议立即维保,针对防火墙的规则库和防火墙版本进行升级。 2、部署EDR等终端安全防护软件对内网主机做定时查杀策略,及时对中毒或异常主机进行拦截和查杀。 3、建议部署上网行为管理,针对内网终端用户上网行为审计,以及对非法恶意网站的访问进行拦截。 4、内部部署安全感知平台,可以针对内网的安全事件进行实时分析,提前识别威胁,并联动防火墙和EDR直接进行拦截杀毒处置。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-8-21 17:13
技术专家1级 