案例-飞客蠕虫攻击

飞客蠕虫攻击案例

1.1 异常发现

某单位最近一段时间应用维护人员发现网络应用比较慢，数据库服务器查看系统日志发现很多相似网络共享访问请求，最高时平均每秒有近几十次的这种请求，而数据库服务器并没有任何网络共享资源；内网中的其他几台主机如监控PC使用感觉比较慢；网络中最近一个月才出现这种状况，以前网络是正常的。

根据网管人员的反应情况，我们初步认为网络中确实存在异常，而且异常状况出现在重要的内网中。因此决定对内网服务器区的流量进行分析，找出引起网络异常的根源。

内网服务器大多集中连接到华为S8505的一块线卡上，因此对该线卡1-47口inbound方向和数据库服务器的双向流量进行镜像

在正确部署了回溯式后，收集了内网服务器一周的数据（10/12---10/19）对这一周的数据进行分析。

1.2 蠕虫攻击分析

首先，我们选择7天的数据查看其网络协议的使用情况，如图：

如上图，我们看到，网络中流量最大的是TCP other流量，经过分析发现都是该单位自定义的协议流量。FTP，HTTP的访问流量分别占第2，第3位是正常的网络应用。而排名第四

的竟然是netBIOS流量，而netBIOS流量在现今的应用中很少使用了，多被黑客作为后门传播各种危险病毒和蠕虫使用。因此该协议流量比较大十分可疑。此外网络协议中CIFS协议也占很大比重，而此协议主要是使用网络邻居做网络共享使用的，而管理员告之网络中并没有使用网络邻居的方式做为网络共享，因此该协议应该是没有流量的，这也是比较可疑的。

然后我们对网络中的TCP访问情况进行分析，选择10/12-10/14日两天的数据进行分析。按照“发tcp同步包”进行排名，如图：

我们看到IP 172.16.1.68 ；172.16.1.95；172.16.1.69；172.16.1.10;172.16.1.54等几个IP的TCP发TCP同步包很大，要远远大于其他IP，但流量却很小，两天以来流量大多都在60MB左右。也就是说这些IP的TCP会话很多，但流量却很小。从分析上我们认为这些IP是比较可疑的，于是我们选择172.16.1.68 进行下载分析。从海量数据中抽取1.68 这个IP两天来的所有流量。

查看1.68的TCP会话我们发现此IP的TCP会话具有明显的异常现象，如图：

如上图，我们看到，1.68在向内网中的172.16.1.102发起大量相似的针对139和445端口的访问，频率高达每分钟几百次。每次会话的数据包个数和字节数都是一样的。这种是比较明显的异常会话。

这种会话具有明显的暴力破解行为，可以通过“数据流“选项来仔细对比，我们随机选择两个12个数据包的CIFS协议的数据流进行对比发现，其内容部分只有密码部分在改变如图：

查看1.68的使用的协议我们也可以看到该IP的流量主要是netbiOS和CIFS协议，如图：

对这种会话的内容，利用科来数据流

然后查看1.68的DNS请求数据，看其主要是访问过什么内容：（内网机器无法访问互联网，但依然会发送各种请求，只是无法得到响应）

如上图，该IP的解析地址中多是比较奇怪的域名，如：jgdgfahe.ws.；；vnuxwalcj.ws.这种正常情况下不会出现的域名。用google查询这些域名发现，这些域名要么找不到记录信息，要么就是飞客蠕虫使用的域名，如图：

所以根据以上域名，异常的TCP会话，网管人员告之的信息以及科来知识库我们可以得出结论：1.68中了飞客蠕虫病毒。

于是我们去1.68机器上进行查看，发现该IP的使用者是内网中某大厅的排队叫号用的一台PC。而且该PC是XP SP2系统，漏洞较多，没有设置系统密码。杀毒软件的病毒库是2011年6月份的，试用杀毒软件进行查杀时，杀毒软件自动退出，无法使用，系统时间也被病毒修改成了2004年。属于中毒较深的服务器。我们建议网管人员对该PC进行重做系统，设置较安全的策略，设置系统密码。

根据以上类似的分析我们发现内网中存在飞客蠕虫病毒访问的主机主要有以下IP：172.16.1.68 ; 172.16.1.69 ; 172.16.1.69 ;172.16.1.10; 172.16.1.54;172.16.1.11.建议对这些PC进行断网杀毒处理。

1.3 飞客蠕虫简介

飞客蠕虫是一种传播性很强的蠕虫病毒，国家计算机应急指挥中心公布的2010年网络安全形势公告显示全国有近10%的PC感染了该蠕虫，而且每个月就能感染1800万用户

飞客蠕虫的传播主要依靠网络共享漏洞，和U盘，移动硬盘等载体。感染飞客蠕虫的主机主要是因为使用较老的系统版本，存在微软的MS08-067漏洞。内网中的PC如果有一台感染了飞客蠕虫，那么其他弱密码的系统或者没有设置密码的主机会很快成为受害者，通过网络共享进行暴力破解，取得管理员权限，最终使这些虚弱PC成为肉鸡，被黑客控制。

飞客蠕虫的危害：

●导致单位机密信息被窃取，比如机密文件，各种系统和数据库的密码。

●取得系统的密码后，严重时可能导致服务中断。

●感染局域网内其他主机，强大的传播性使其他虚弱的PC受到感染，造成大面积的感染。

●大面积感染后会使大量消耗防火墙等设备的网络并发连接，影响其他PC的正常业务访问

（firewall的并发连接数是固定的，如果几十台PC感染了飞客蠕虫，导致的并发连接可能会消耗掉防火墙大多数连接数，从而导致正常用户也受到影响，这种就会出现，带宽足够但访问也会比较慢的情况产生。）

1.4问题解决

在确定了网络中发生的异常是因为爆发了飞客蠕虫病毒导致的后，解决问题变的容易了。借助科来回溯系统，我们可以很明确的了解哪些PC中了该蠕虫病毒，对这几台PC安装相应的微软补丁，然后下载飞客蠕虫的专杀工具，对这几台PC进行专杀。然后升级最新的杀毒软件，修改系统密码。经过10月18号一上午的紧急处理后，问题终于得到了控制，据网管人员反映，这些PC上杀到很多病毒，而且杀毒完接入网络后，行为一切正常了，网络的业务访问也较快了。

由此我们可以推断整个事件的过程：某个应用人员在维护服务器的时候使用了感染了蠕