【排障那些事】你的安全软件正在攻击你的业务服务器

一、问题描述

1.1  问题

  **信安全监测平台发现单位部分内网PC（192.168.x.x）有对外发起扫描探测行为，存在安全隐患。

     现场值守人员建议对相关设备或系统进行隐患排查，避免攻击者利用失陷设备或系统做进一步攻击。

1.2 我方职责

  我方是客户驻场运维单位，主要是负责客户的基础网络和桌面，辅助客户进行安全运维。

  我是8月9日16时30分接到的通知，属于被拉过去充人头兼开盲盒的。

  说出来你可能不信，实际上就是这么荒谬。

   

   

二、告警信息

    这个告警信息就是在**信安全监测平台上监测到大批量成规模的内网扫描探测行为。

    告警信息由于是在**信安全监测平台上，不属于我的排查范围，但我在终端上找到了扫描软件。

    就是标红的这个"NMAP.exe-77300172.pf"这个，在这个时间点，大量电脑的C:\windows\prefetch出现该软件，且对外发起扫描行为。

   

三、处理过程

    3.1  现场情况

    我到达客户现场已经是下午5点半了，当时下着不小的雨（当天火车站好多车都停运了），当时已经有两个安全厂商的人在现场了，一个是**信，一个是*天（大概是这么个名字，太小众记不太清了）。

    当时在一个大办公室里，在一台显示器前有两男一女不知在嘀嘀咕咕啥，客户看见我过来了，说**信有进展了，想让我也一起分析分析，我一看这环境，我也插不上手啊。就说，我先看下发起攻击的终端电脑吧，发起攻击的电脑很多，随便找了台没人的电脑，然后开始排查。

    3.2  PC机信息

     1）IP

     192.168.*.*

     2）操作系统

     Windows 7 SP1

     3）行为表现

     在**信安全监测平台发现PC有对外发起扫描行为。

    3.3 系统监听端口

    服务器有开启RDP等协议的高危服务端口。

     

     3.4  系统安全日志排查

     未排查到PC机有暴力破解日志：

      

      系统日志未发现规律性的登录失败日志：

      

      3.5  系统用户

      未发现有新增用户或修改用户密码的情况。

      

    3.6  全盘查杀病毒。

     使用电脑自身的杀软未查杀出病毒。

      

      我们将“*.pf”文件导出，使用火绒查杀未发现病毒，后续上传到多个第三方网站，反馈均无毒。

      

     3.6  进程排查。

     未发现可疑进程。

      

      3.7  启动项检查。

     未发现可疑项。

      

     3.7  任务计划。

     未发现可疑计划。

     

四、根因

     **信的终端杀毒软件开启了终端自动发现功能，该功能会向终端电脑下发一个“NMAP”开头的扫描软件，**信的安全监测平台检测到的终端扫描行为即“NMAP”开头的扫描软件发起的。

五、解决方案

     关闭**信的终端自动发现功能即可。

六、建议与总结

     6.1  建议

     1）**信的安全测评平台的扫描阈值设置高些儿，或者**信的终端杀毒软件的扫描阈值设置的低些儿，避免同一厂商两个产品打架。

     2）**信的内部通路有堵塞，从厂商安全人员介入到判断出问题原因所在，至少用了3个小时的时间。建议后续打通内部壁垒，建立好产品的FAQ。

      6.2  总结

      2024年8月9日16时30分我司接客户反馈以下信息：**信监测平台发现单位部分内网PC（192.168.x.x）有对外发起扫描探测，存在安全隐患。值守人员建议对相关设备或系统进行隐患排查，避免攻击者利用失陷设备或系统做进一步攻击。

      2024年8月9日17时30分到现场进行排查，发现出现问题的终端已经采取了断网操作，并在进行了消杀操作，未发现病毒及攻击行为。

       经排查未发现PC终端有感染病毒文件以及其他异常行为。

       **信安全监测平台发现的攻击行为是由**信终端杀毒软件下发的策略导致的。

七、插曲

     7.1  反复

     在6点左右，接同事反馈，说我们先不用查了，**信说是他们下发文件引起的问题，于是我们就放松了下来，有人领锅当然是件值得高兴的事。然而没过多一会儿，**信说还要再确认下，有可能不是他们下发的文件，于是我们又闷头呼哧干了起来。

     7.2  老工程师

     我在17时30分到达客户现场后，听现场值守的同事说，还有一个老工程师要过去，老工程师大概19时到了现场，我们称为老王吧。老王很自信，到了现场就指点江山，跟客户说，网络就那点事，先杀毒，杀不出来就重装系统，然后跟驻场工程师说，先将PC上的病毒文件删除，然后关机重启，跟**信说，你们先把终端杀毒的网线拔了，我们观察下PC终端上文件是否还会生成。

     老王操作完，然后说，等吧。在等的过程，老王说，当年我跟刘强东、雷军、周红衣都认识，你是知道的吧？当时他们都是在中关村那块，那时那地界都是平房....老王：我跟你实话实说，**信的杀毒软件是真不错，我就一直推荐客户用，咱们单位用**信说明我们单位的眼光f真不错，真不错。

     等了一会儿，**信前来领锅，说锅是我的，大家不要抢了，是我们的杀毒软件下发了扫描软件对外发起了扫描行为。

     我心里是很服气的。

      7.3   尴尬

      在平常处理问题时，就怕自已家设备打架的问题。比如，SIP上显示终端报毒了，EDR杀不出来；AF显示服务器被有外连，EDR杀不出来。

       但和这次相比，那就是尴尬他妈给尴尬开门，尴尬到家了。

       **信：领导，安全监测平台显示多终端发起扫描的问题我们已经找到了原因了。

       领导：好。什么原因呢？

       **信：我们的终端杀毒下发了扫描软件，然后对外发起了扫描行为。

      

安全软件正在攻击你的业务服务器

感谢分享，有助于工资和学习！

感谢分享，有助于工资和学习！

感谢分享，有助于工资和学习！

感谢分享，有助于工资和学习！

每天坚持打卡学习签到！！

每天坚持打卡学习签到！！

感谢分享