案列概述
2017年11月17日15点34分,某单位部署的泰合安全管理平台(TSOC)监测到有设备疑似感染木马,并在第一时间产生了告警,告警信息显示为“L2_ADS_肉鸡设备对外连接”。随后泰合北斗团队根据泰合安全管理平台的告警信息协助运维人员对该事件进行了分析和调查,最终确认已有10台设备感染恶意程序,且被感染主机不断尝试与恶意控制服务器进行连接。
该事件详细告警如下:
安全事件分析
泰合安全管理平台的核心功能是收集用户业务环境中各类设备的安全日志,在采集层对日志进行过滤、归并、范式化、补全等一系列 ETL 数据处理过程,对日志数据进行降噪,保留有效数据;然后在平台分析处理层进行自动化、智能化的关联分析,发现真实的安全威胁,并协助运维人员对安全告警进行处置。
1) 安全日志
用户在网络环部署了安全检测设备,包括入侵防护系统(IPS)、WEB 应用防火墙(WAF)和状态检测防火墙。泰合安全管理平台收集了用户网络环境中重要业务服务器、核心网络设备、全部安全设备和主要应用系统的安全相关的日志数据。
2) 安全日志 ETL 处理
泰合安全管理平台对接收到的日志进行范式化解析,对原始日志中的重要字段进行提取,对日志中缺少的关键信息进行了补全。
3) 事件关联分析
泰合北斗服务人员配合运维人员在泰合安全管理平台创建 “L2_ADS_肉鸡设备对外连接”的分析规则,关联规则分析场景的可视化编辑界面如图所示:
被监测设备感染病毒后,触发了告警,告警信息如下:
对告警进行追溯,查看原始事件信息,比较详细的记录了事件的相关属性,如下图所示:
对该类事件一周内的日志信息做统计,发现一周内共拦截到64927条该类日志,详细内容如下图所示:
内网终端不断的向目的主机221.130.179.36发送数据包,与该地址相关IOC如下图:
泰合威胁情报
利用TSOC可视化分析工具展示出当前事件(前50条)的访问关系如下图:
对全部事件(64927条)进行统计,内部存在恶意程序连接行为的设备如下表:
通常简易的僵尸网络工作流程如下图所示,首先主机被感染恶意程序,此类程序会指引主机去连接僵尸网络控制服务器,通过控制服务器获取相应的指令从而去感染其它的主机或者对互联网上其它主机进行攻击。
僵尸网络工作流程
在本次案例中,泰合安全管理平台监测到被感染设备不断的连接恶意僵尸网络,且已经被IPS阻断。同时,对近段时间被感染设备的行为进行分析,未发现被感染设备对其它IP发起攻击的行为,也没有其它设备对被感染设备发起连接。
针对本次案例中的问题,北斗团队建议用户采取以下紧急措施:
1) 将被感染设备离线,进行网络隔离。
2) 修复系统漏洞,完成后重启。
3) 利用杀毒软件进行查杀,完成后重启设备。
4) 完成启动后再次利用杀毒软件进行查杀。
(来源:启明星辰)
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
