案例从一次流量异常中发现主机被植入后门程序.doc

案例从一次流量异常中发现主机被植入***程序
***程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序。本案例通过网络分析发现了一个带感染功能的***程序，详细展现此***程序的全部网络行为。1事件描述科来公司应某政府单位邀请，为其排除网络故障，通过科来网络全流量分析系统（简称“TSA”）的测试，并通过几日的全流量回溯分析同时结合TSA强大的安全告警功能，发现了内网主机被植入***程序，存在内网进扩散的行为。2分析过程经过几天的数据收集及分析，TSA产生大量的告警信息，发现多条告警信息与IP ，需要对其进行挖掘与深度分析。对可疑IP ，都存在异常的流量突发，突发流量以文件共享居多。第一日突发流量组成第二日突发流量组成第三日突发流量组成深度挖掘数据包，精细分析可疑IP 。嗅探对端主机操作系统版本可疑IP通过Netbios收集对端主机的操作系统版本信息。探测共享IPC$、ADMIN$可疑IP主动探测大量地址的IPC$、ADMIN$，攻击者常会通过这些默认共享发起一些如账户***等攻击行为，可能存在安全问题。，但可疑内网服务器主动外联境外IP（葡萄牙），属于高危行为，需要密切关注。 ，通过多次抓包发现XXXX为随机数值。，结合搜索的到资料，***程序，并试图向内网其他主机进行扩散。以下列出该***程序的一些关键特征，也与实际数据包展示的行为一致。与C&，555端口建立TCP连接，连接成功后发送机器相关信息，等待接收命令，根据指令发送相关信息。查找内网所有开放139、445端口的主机。并对这些主机进行IPC$***，