通过网络行为分析发现未知蠕虫病毒
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
通过日志分析发现内网 IP XX.77.42 最快时每秒钟发送一份邮件,而邮件的大小和收件 人都是 QQ 邮箱:
查看该 IP 发送的内容可以发现明显的广告推广内容。内容是推广“天猫”商城。而且 多达近万封的邮件内容几乎完全一样:
定位该 IP,找出发送邮件的进程,并进行深度处理,发现了相应的蠕虫程序,网络恢复 正常。 分析小结: 蠕虫发展越来越智能,攻击和利用网络的时间设置为错开上班时间,这样不会对网络和 PC 使用者造成明显的影响,因此更加的隐蔽,该 IP 在晚上 10 点后发送大量邮件,看 似是正常的网络行为,但通过行为分析后,可以确定是明显的蠕虫病毒。
定位到其中一个 IP 地址 172.17.236.205,通过 TCP 会话视图发现此 IP 不断尝试和 61.139.8.101 等多个 IP 建立 TCP 会话,这是典型的端口扫描行为:
攻击者对每台主机发送至少 3 个 TCP 同步报文,其中大部分数据包总量为 3 的是主机不 存在或未作响应;数据包为 6 的是主机对扫描者回应了 TCP 重置,表示攻击者访问的端 口没有开放;而有几台主机与攻击者交换了几十个数据包,说明攻击者对这几台主机进
应用层 应用流量激增,会话数增多,通讯内容类似,比较典型的是邮件蠕虫。
4. 通过网络行为分析快速发现
4.1 未知邮件蠕虫分析 在一次流量巡检中,偶然发现单位的邮件流量异常,即晚上 10 点以后,网络里出现大 量的 stmp 流量:
提取 SMTP 数据,进行深度分析,发现大量的 SMTP 的会话特征基本相同,会话频率高, 且每个会话的数据包在 27‐35 之间:
4.2 CIFS 蠕虫分析 CIFS 协议主要用于 Windows 主机之间进行文件共享,通常采用 445 端口通讯,但该端 口给我们带来方便的同时,也带来了很多风险,如硬盘被偷偷共享等,下面就是一起利 用 445 端口传染蠕虫病毒的案例。 在流量巡检中,对网络中的 CIFS 应用数据进行了重点分析,发现大部分 IP 的 TCP 同步 发收比严重失衡。(正常情况下,TCP 同步发收比应该是 1:1 的状态)
可以看出,蠕虫病毒在扫描、传播、发作等过程中,将产生大量的网络行为,根据实际分析, 当终端感染蠕虫病毒后,其通讯行为通常具有以下特征:
网络层(IP 端点) 同大量的主机进行会话,即 IP 会话很多,且每个会话的流量很少; 大多是发送数据包,且数据包较小。
传输层(UDP、TCP 会话) 产生大量的 TCP、或 UDP 会话,会话特征类似(包括会话时间、收发数据包个数、 流量等); 会话端口也有相应的特征,如采用连续端口、固定端口和随机端口进行通讯; 发现的 TCP SYN 包,大部份没有响应或拒绝。
经过以上的分析发现,传统的技术手段已经落后于当前病毒、恶意代码的技术,且传统手段 对未知的蠕虫病毒毫无办法,经过实践发现,通过网络行为则可以有效的发现未知蠕虫病毒、 恶意代码等异常行为。
3. 蠕虫病毒的原理
根据蠕虫病毒的原理和特性,其通常具有“扫描、攻击、寄生、传播、发作 ”等几大功能, 每一个功能模块具有不同的功能,如下图所示:
2. 传统手段的不足
当前,大部份的网络都是通过防病毒软件、防毒墙等对网络病毒、恶意代码进行发现或处理, 通常,处理情况如下:
从上图可以看到,系统补丁或病毒库通常都会落后于病毒产生的时间,且补丁或库文件在通 过网络更新的时候也存在感染的风险,现在病毒的变种速度又非常快,而且会采用相应的新 技术,如免杀技术、禁止杀软运行、内核驱动等。
通过网百度文库行为分析发现未知蠕虫病毒(恶意程序)
1. 网络行为分析概念
网络行为是指每个网络个体为了完成数据传输在网络中被动或主动接收发送数据的过程,它 包括数据包括数据链路层到应用层所有数据。网络个体在网络中完成一个操作可能要发生多 个和多种网络行为,如网页浏览就会产生 ARP、DNS、HTTP 等网络行为,同样的,蠕虫病毒、 恶意程序等在传播或攻击时也都存在相应的网络行为。 网络分析技术通过旁路方式捕获分析网络里传输的底层数据包,全面展现数据链路层到应用 层的信息,并提供丰富的关键参数,是记录、分析网络行为的最佳手段。 本文讨论的通过网络行为来发现未知的蠕虫病毒就是基于网络分析技术之上的。
免杀技术通常通过花指令、加壳、修改特征码等方式实现;禁止杀毒软件运行通常通过结束 进程、删除程序、修改注册表等方式实现;内核驱动则是改变处理器的优先权来进行,病毒 通过生成驱动程序,与杀毒软件争抢系统控制权限,通过修改 SSDT 表等技术实现 WINDOWS API HOOK。
注:在保护模式下,X86 处理器一共有 4 个不同优先级(Privilege Levels),英特尔的术语为 Ring,从 Ring0‐Ring3。Ring0 的优先级最高,Ring3 最低。按照设计,Ring0 用于操作系统内 核,Ring1 和 Ring2 用于操作系统服务,Ring3 用于应用程序。
行了深入的漏洞扫描:
从这些扫描会话的数据流还原视图中,可以明显看出 IPC$连接请求,和命名管道的访问 请求,可以看出这是针对 Windows 2003 SP1 以前版本“\pipe\browser”命名管道漏洞的 攻击尝试。
分析小结: 通常情况下,边界路由器、防火墙、IDS、防病毒软件等是对付蠕虫病毒的主要手段,而 它们都是通过一些特征库进行检测,因此这些措施都只能对现有的策略或已知的蠕虫病 毒进行响应。倘若蠕虫发生变种,病毒特征会发生改变,继续依靠特征库则无法准确检 测。但是它的工作流程、网络行为是没有改变的,所有通过抓包分析,根据网络行为检 测蠕虫病毒,是一种非常可行的解决办法。
查看该 IP 发送的内容可以发现明显的广告推广内容。内容是推广“天猫”商城。而且 多达近万封的邮件内容几乎完全一样:
定位该 IP,找出发送邮件的进程,并进行深度处理,发现了相应的蠕虫程序,网络恢复 正常。 分析小结: 蠕虫发展越来越智能,攻击和利用网络的时间设置为错开上班时间,这样不会对网络和 PC 使用者造成明显的影响,因此更加的隐蔽,该 IP 在晚上 10 点后发送大量邮件,看 似是正常的网络行为,但通过行为分析后,可以确定是明显的蠕虫病毒。
定位到其中一个 IP 地址 172.17.236.205,通过 TCP 会话视图发现此 IP 不断尝试和 61.139.8.101 等多个 IP 建立 TCP 会话,这是典型的端口扫描行为:
攻击者对每台主机发送至少 3 个 TCP 同步报文,其中大部分数据包总量为 3 的是主机不 存在或未作响应;数据包为 6 的是主机对扫描者回应了 TCP 重置,表示攻击者访问的端 口没有开放;而有几台主机与攻击者交换了几十个数据包,说明攻击者对这几台主机进
应用层 应用流量激增,会话数增多,通讯内容类似,比较典型的是邮件蠕虫。
4. 通过网络行为分析快速发现
4.1 未知邮件蠕虫分析 在一次流量巡检中,偶然发现单位的邮件流量异常,即晚上 10 点以后,网络里出现大 量的 stmp 流量:
提取 SMTP 数据,进行深度分析,发现大量的 SMTP 的会话特征基本相同,会话频率高, 且每个会话的数据包在 27‐35 之间:
4.2 CIFS 蠕虫分析 CIFS 协议主要用于 Windows 主机之间进行文件共享,通常采用 445 端口通讯,但该端 口给我们带来方便的同时,也带来了很多风险,如硬盘被偷偷共享等,下面就是一起利 用 445 端口传染蠕虫病毒的案例。 在流量巡检中,对网络中的 CIFS 应用数据进行了重点分析,发现大部分 IP 的 TCP 同步 发收比严重失衡。(正常情况下,TCP 同步发收比应该是 1:1 的状态)
可以看出,蠕虫病毒在扫描、传播、发作等过程中,将产生大量的网络行为,根据实际分析, 当终端感染蠕虫病毒后,其通讯行为通常具有以下特征:
网络层(IP 端点) 同大量的主机进行会话,即 IP 会话很多,且每个会话的流量很少; 大多是发送数据包,且数据包较小。
传输层(UDP、TCP 会话) 产生大量的 TCP、或 UDP 会话,会话特征类似(包括会话时间、收发数据包个数、 流量等); 会话端口也有相应的特征,如采用连续端口、固定端口和随机端口进行通讯; 发现的 TCP SYN 包,大部份没有响应或拒绝。
经过以上的分析发现,传统的技术手段已经落后于当前病毒、恶意代码的技术,且传统手段 对未知的蠕虫病毒毫无办法,经过实践发现,通过网络行为则可以有效的发现未知蠕虫病毒、 恶意代码等异常行为。
3. 蠕虫病毒的原理
根据蠕虫病毒的原理和特性,其通常具有“扫描、攻击、寄生、传播、发作 ”等几大功能, 每一个功能模块具有不同的功能,如下图所示:
2. 传统手段的不足
当前,大部份的网络都是通过防病毒软件、防毒墙等对网络病毒、恶意代码进行发现或处理, 通常,处理情况如下:
从上图可以看到,系统补丁或病毒库通常都会落后于病毒产生的时间,且补丁或库文件在通 过网络更新的时候也存在感染的风险,现在病毒的变种速度又非常快,而且会采用相应的新 技术,如免杀技术、禁止杀软运行、内核驱动等。
通过网百度文库行为分析发现未知蠕虫病毒(恶意程序)
1. 网络行为分析概念
网络行为是指每个网络个体为了完成数据传输在网络中被动或主动接收发送数据的过程,它 包括数据包括数据链路层到应用层所有数据。网络个体在网络中完成一个操作可能要发生多 个和多种网络行为,如网页浏览就会产生 ARP、DNS、HTTP 等网络行为,同样的,蠕虫病毒、 恶意程序等在传播或攻击时也都存在相应的网络行为。 网络分析技术通过旁路方式捕获分析网络里传输的底层数据包,全面展现数据链路层到应用 层的信息,并提供丰富的关键参数,是记录、分析网络行为的最佳手段。 本文讨论的通过网络行为来发现未知的蠕虫病毒就是基于网络分析技术之上的。
免杀技术通常通过花指令、加壳、修改特征码等方式实现;禁止杀毒软件运行通常通过结束 进程、删除程序、修改注册表等方式实现;内核驱动则是改变处理器的优先权来进行,病毒 通过生成驱动程序,与杀毒软件争抢系统控制权限,通过修改 SSDT 表等技术实现 WINDOWS API HOOK。
注:在保护模式下,X86 处理器一共有 4 个不同优先级(Privilege Levels),英特尔的术语为 Ring,从 Ring0‐Ring3。Ring0 的优先级最高,Ring3 最低。按照设计,Ring0 用于操作系统内 核,Ring1 和 Ring2 用于操作系统服务,Ring3 用于应用程序。
行了深入的漏洞扫描:
从这些扫描会话的数据流还原视图中,可以明显看出 IPC$连接请求,和命名管道的访问 请求,可以看出这是针对 Windows 2003 SP1 以前版本“\pipe\browser”命名管道漏洞的 攻击尝试。
分析小结: 通常情况下,边界路由器、防火墙、IDS、防病毒软件等是对付蠕虫病毒的主要手段,而 它们都是通过一些特征库进行检测,因此这些措施都只能对现有的策略或已知的蠕虫病 毒进行响应。倘若蠕虫发生变种,病毒特征会发生改变,继续依靠特征库则无法准确检 测。但是它的工作流程、网络行为是没有改变的,所有通过抓包分析,根据网络行为检 测蠕虫病毒,是一种非常可行的解决办法。