恶意代码智能监测预警系统报告.docx

《恶意代码智能监测预警系统报告.docx》由会员分享，可在线阅读，更多相关《恶意代码智能监测预警系统报告.docx（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、恶意代码智能监测预警系统报告报告生成时间： 2名称: 恶意代码智能监测预警系统-分析报告X-05-18 00:00:00到X-05-24 16:24:081 概述当前木马和僵尸网络攻击已经成为互联网安全安的主要威胁，由于其涉 及很多经济、政治等因素，致使这些恶意威胁发展变化非常迅速，传统的安 全防御手段难以及时检测、定位、清除这类恶意威胁。上海X信息安全技术有限公司是一家专门从事网络恶意攻击行为研究的 高科技公司，在恶意代码检测领域取得辉煌的成就。在网络部署一套僵尸木 马检测系统，通过旁路镜像的方式接入网络中，当前系统旁路挂载在机房外 网交换机上。当前僵尸木马检测系统能够检测服务器中的木马或僵

2、尸网络信 息。2 系统运行状况内存内存总量3764.98MB当前内存使用量2991.15MB当前内存剩余量773.83MB交换区总量8191.99MB当前交换使用0.0MB当前交换区剩余8191.99MB硬盘盘符名称文件系统类型硬盘总大小硬盘剩余大小硬盘已使用大小硬盘使用率/dev/sda3ext4226175.03MB220481.27MB5693.77MB3.0%procproc0.0MB0.0MB0.0MB0.0%sysfssysfs0.0MB0.0MB0.0MB0.0%devptsdevpts0.0MB0.0MB0.0MB0.0%tmpfstmpfs0.0MB0.0MB0.0MB0.0

3、%/dev/sda1ext4484.22MB446.17MB38.05MB9.0%nonebinfmt_misc0.0MB0.0MB0.0MB0.0%平台页面各项功能，经检查可正常使用。3 检测结果汇总自X-05-18 00:00:00到X-05-24 16:24:08，这一段时间内，共检测到812个僵尸网络，18619个木马，93个恶意链接，1024疑似木马。如下为所有内网络内部攻击行为分布图恶意程序危胁统计：恶程序危胁统计9320000-u-u-u01虔钳匼15000o-Uoo5六马疑似木马恒户网络恶音距姿荒攻击源危胁个数TOP10排行： 3551353釭2B230020712352212

4、0210.141.153.12258.220.3.10310.70.248.13310.68.105.258.216.13.225良1 0.70.240.6110,137.6.113115.231.232.22610.75.145.124 l0.U8A.212-U10002000300040005000攻击次势感染主机危胁个数TOP10排行： 72535523536233223023 9l222.186A2.21310.70.248.13358.220.3.10358.216.13.225Q.10.68.105.2思 18 从1 68 Al. 1 7511 I249.208.2569.28.1

5、48.250-UW.28.156.250 21了1 72.184.7110002000300040005000感4 感染威胁详情4.1 木马感染情况木马主要危害(1) 窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木 马侦测到，此外还有很多木马还提供有击键记录功能，它将会记录服务端每 次敲击键盘的动作，所以一旦有木马入侵，密码将很容易被窃取。(2) 文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修 改,上传,下载,运行,更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。(3) 修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修

6、改主键，子键，键值。有了这项功能控制端就可以禁止服务端软驱，光驱的使 用，锁住服务端的注册表，将服务端上木马的触发条件设置得更隐蔽的一系列高级操作。(4) 系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标，键盘，监视服务端桌面操作，查看服务端进程等， 控制端甚至可以随时给服务端发送信息。(5) 视频监控：控制端可以监控被控端的桌面，对远程的桌面进行截图及录 像，记录远程所有操作，也可以远程开启被控端的摄像头，对被控端操作人 员进行监控。(6) 机密信息窃取：控制端可以操作被控终端的系统文件，检索查询电脑中 所有数据，并且可以窃取其中的机密信息，或黑客感兴趣的

7、数据。4.1.2 木马感染详情当前网络中检测到红尘安网感染的主机数最多，共检测到感染主机数 123个。建议尽快对该木马进行处理。攻击源危胁个数TOP10排行：感染主机危胁个数TOP10排行4.1.3 木马描述及解决方案木马Ghost系列描述一、简介1. 基本信息:可以查看操作系统版本、Cpu类型、内存信息、硬盘大小等2. 文件管理:文件浏览、上传、下载、删除、运行 目录创建和删除。3. 屏幕捕获:可以查看对方屏幕4. 视频捕捉:可以捕获对方的视频摄像头影像5. DOS命令:也就是telnet命令执行6. 进程管理:可以查看对方进程，并可以终止进程。7. 注册表管理:可以浏览、删除、新建、修改8

8、. 服务管理功能:可以浏览、启动、停止、删除9. 窗口管理功能:查看、关闭。10. 发送消息:发送一些提示远程用户信息、可以返回用户的选择结果11. 特殊功能：剪切板内容12. 远程录音：可对对方机器的音频设备（麦克风）进行捕获13. 代理设置：支持socks4代理14. 其他杂项：下载执行、刷网站流量、升级服务端行为分析行为描述：查找文件行为描述：绑定监听端口行为描述：创建进程行为描述：疑似查找杀软进程建议木马x-door描述一、简介1. 文件管理文件、文件夹批量上传、删除、下载、创建、重命名。2. 屏幕监控对被控端的的屏幕进行监视和控制3. 远程终端在远程计算机运行命令行4. 键盘记录对被

9、控端键盘输入输出的一种监控记录5. 进程管理可以对被控端的进程进行增删改的操作6. 服务管理查看、暂停、终止、远程计算机的服务行为分析其他行为监控行为描述：绑定监听端口行为描述：创建互斥体行为描述：搜索指定窗口文件操作监控操作 文件MD5 文件大小 文件路径进程操作监控 新增 删除 修改注册表监控建议木马梦魇专业免杀远控描述一、简介梦魔专业免杀远控和专用鸽子远控，他们有很大的差别，前者功能做的 更细了，也更加有自己的特色，而后者伪灰鸽子而来的。功能有：1. 文件管理文件、文件夹批量上传、删除、下载、创建、重命名。2. 屏幕监控对被控端的的屏幕进行监视和控制3. 远程终端在远程计算机运行命令行4

10、. 键盘记录对被控端键盘输入输出的一种监控记录5. 进程管理可以对被控端的进程进行增删改的操作6. 服务管理查看、暂停、终止、远程计算机的服务7. 等等行为分析行为描述：快速耗电应用，发送短信，拦截短信，启动服务，隐私数据泄露建议木马灰鸽子-51RemoteFree描述一、简介灰鸽子（Huigezi），它的功能十分强大，原本该软件适用于公司和家庭管理，但因早年软件设计缺陷，被黑客恶意使用，曾经被误认为是一款集多种 控制方式于一体的木马程序。灰鸽子可高清捕获远程电脑屏幕，还能监控被 控电脑上的摄像头，自动开机（不开显示器）并利用摄像头进行录像，获取 被控端电脑内的文件，获取聊天记录，邮件内容等。

11、截至2006年底，“灰鸽 子”木马已经出现了6万多个变种。客户端简易便捷的操作使刚入门的初学 者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软 件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。灰鸽子 的原作者葛军已经停止对其开发。2013年起，灰鸽子相关（TM）商标由潍坊 灰鸽子安防工程有限公司注册。意在将灰鸽子开发成为一款合理的正规的远 程控制软件。据说新版灰鸽子即将诞生，研究者HK联盟小帅。行为分析危险行为监控行为描述：远控客户端。使用该类软件危害其他用户，同时可 能成为远控作者的傀儡。行为描述：搜索指定窗口行为描述：绑定监听端口行为描述：隐藏指定窗口行为描述

12、：遍历磁盘类型行为描述：检测自身是否被调试行为描述：创建互斥体行为描述：创建进程行为描述：查找文件建议木马 白金远控V4.73描述一、简介白金远控是最早的互联网远程企业管理软件，企业管理B2C远程监督服 务首选，服务包括企业B2C远程服务、个人家庭远程、专业检测提供企业互 联网远程监督解决方案和顾问咨询服务。白金（正规软件）首先功能上全部具备远控所有功能：远程控制电脑、 远程桌面连接、远程开启对方视频、屏幕录制等。白金远控定制版软件更是可以同时控制多台电脑、具备视频墙、屏幕墙等功能。操作简便性在操作上，白金远程控制软件控制对方电脑无需做路由器端口映射，下载白金软件（定制版）使用有不会安装的用户

13、，减去安装过 程中的复杂程序，点击一个 exe 的文件就自己安装在执行了，白金远控（专业版）同时也得到了软件不含恶意代码认证，不会被杀毒软件杀掉，远控与 白金之间， 选择白金更放心。功能性远控黑客软件和白金的区别不论是在功能操作上的区别比较大之外，远控没有一个固定的版本，在网络随便下载的远控黑客软件不但不能 用之外还让自己的电脑瘫痪，所以在选择远控软件之前，应该考虑下载远控 而白金可以以低价的付费方式而获得永久使用特权，没有时间限制，没有功 能限制，而且是最早最稳当远控，业界已经尽知，无需再重复解说。行为分析危险行为监控行为描述：结束指定进程其他行为监控行为描述：添加窗口消息钩子行为描述：创建

14、进程行为描述：创建互斥体行为描述：隐藏指定窗口文件操作监控进程操作监控创建进程建议木马 红尘安网描述一、简介1. 文件管理文件、文件夹批量上传、删除、下载、创建、重命名。2. 屏幕监控对被控端的的屏幕进行监视和控制3. 远程终端在远程计算机运行命令行4. 键盘记录对被控端键盘输入输出的一种监控记录5. 进程管理可以对被控端的进程进行增删改的操作6. 开启3389可以远程桌面管理，但是得需要知道用户的用户名和密 码。7. 清除日志删除计算机记录的操作信息。7.服务管理查看、暂停、终止、远程计算机的服务行为分析危险行为监控行为描述：篡改系统文件行为描述：DDOS攻击工具。使用该类软件危害网X全，同

15、时可能成为该工具 作者的傀儡。行为描述：疑似查找游戏进程行为描述：疑似读取游戏内存行为描述：映像劫持，在用户执行被劫持的程序时，会运行指定的程序。该 行为非常危险行为描述：隐藏指定窗口行为描述：inline hook 自身进程行为描述：创建互斥体行为描述：添加Windows防火墙例外，防止访问网络时被防火墙拦截 行为描述：设置文件属性行为描述：添加窗口消息钩子行为描述：搜索指定窗口行为描述：绑定监听端口文件操作监控建议木马纯真远控描述白金远控变种的一种，功能多而强大。行为分析其他行为监控行为描述：搜索指定窗口行为描述：创建互斥体行为描述：绑定监听端口行为描述：隐藏指定窗口建议木马败笔网络远程管

16、理3.0版描述一、简介1. 文件管理文件、文件夹批量上传、删除、下载、创建、重命名。2. 屏幕监控对被控端的的屏幕进行监视和控制3. 超级终端在远程计算机运行命令行4. 键盘记录对被控端键盘输入输出的一种监控记录5. 进程管理可以对被控端的进程进行增删改的操作6. 查看、暂停、终止、远程计算机的服务行为分析无其他行为监控行为描述：创建互斥体建议木马饭客远控【白金VIP版】描述行为分析他会插入一个叫svchost.exe进程，生成一个.dll动态链接库，对svchost.exe文件进行注入，并且隐藏文件。建议1. 使用iceword或者XueTr都可以，查找可疑被监听的通信，根据进程ID号找 到

17、可疑进程，然后杀掉这个进程。2. 如果端口号被攻击者更改，它插入的是C:WINDOWSsystem32svchost.exe，是在C:WINDOWSsystem32下生成的一个.dll文件，我们可以使用XueTr，查询ESTABLISHEN对话，匹配以上路径， 从而找出进程号，然后切换到XueTr的进程，查杀进程。3. 如果不放心，用杀毒软件杀毒，或者针对的对C：windowssystem32文件 进行查杀1.freerat它插入的是C:WINDOWSsystem32svchost.exe，是在C:WINDOWSsystem32下生成的一个.dll文件，我们可以使用XueTr，查询ESTABL

18、ISHEN 对话，匹配以上路径，从而找出进程号，然后切换到XueTr的进程，查杀进程。3.如果不放心，用杀毒软件杀毒，或者针对的对C：windowssystem32文件 进行查杀1. 黑客学习基地VIP远控自动生成的端口号是801，如果攻击者没有更改端口号的话，直接寻找801端口（在这里查询工具可以使用iceword或者XueTr都可以，都可以先找到对应的端口号，根据端口号查询进程），然后杀掉这个 进程。2. 如果端口号被攻击者更改，它插入的是C:WINDOWSsystem32svchost.exe，是在C:WINDOWSsystem32下生成的一个.dll文件，我们可以使用XueTr，查询E

19、STABLISHEN对话，匹配以上路径， 从而找出进程号，然后切换到XueTr的进程，查杀进程。3. 如果不放心，用杀毒软件杀毒，或者针对的对C：windowssystem32文件 进行查杀1. 他生成的服务端，运行之后会生成一个动态链接库文件并注入iexplore，所以我们可以有针对行的查找进程，使用iceword对被监听的进程与任务管 理其中内存使用较大的进行对比，通过进id找到进程，然后杀掉进程。2. 关闭ie代理服务3. 如有不放心，可以继续使用杀毒软件查杀一遍！ 检测是否存在指定注册表键;查找文件;隐藏指定窗口;创建互斥体; 搜索指定窗口;IE 代理服务器设置安装杀毒软件查杀1. 红

20、尘安网远控，远程连接生效后会在服务端创建一个sogou.exe的进程，然后我们可以通过冰刃（iceword）、或者XueTr扫描端口进程，如果发现sogou.exe被监听，那么直接杀掉这个进程。2. 使用杀毒软件查杀！1. 纯真它插入的是C:WINDOWSsystem32svchost.exe，是在C:WINDOWSsystem32下生成的一个.dll文件，我们可以使用XueTr，查询ESTABLISHEN对话，匹配以上路径，从而找出进程号，然后切换到XueTr的进 程，查杀进程。2. 如果不放心，用杀毒软件杀毒，或者针对的对C：windowssystem32文件 进行查杀1.饭客白金远控自动

21、生成的端口号是3030，如果攻击者没有更改端口号的话，直接寻找3030端口（在这里查询工具可以使用iceword或者XueTr都可以， 都可以先找到对应的端口号，根据端口号查询进程），然后杀掉这个进程。 2.如果端口号被攻击者更改，它插入的是C:WINDOWSsystem32svchost.exe，是在C:WINDOWSsystem32下生成的一个.dll文件，我们可以使用XueTr，查询ESTABLISHEN对话，匹配以上路径， 从而找出进程号，然后切换到XueTr的进程，查杀进程。3.如果不放心，用杀毒软件杀毒4.2 僵尸网络感染情况僵尸网络（Botnet）构成了一个攻击平台，利用这个平台

22、可以有效地发 起各种各样的攻击行为，可以导致整个基础信息网络或者重要应用系统瘫痪，也可以导致大量机密或个人隐私泄漏，还可以用来从事网络欺诈等其他 违法犯罪活动。下面是已经发现的利用僵尸网络发动的攻击行为。随着将来 出现各种新的攻击类型，僵尸网络还可能被用来发起新的未知攻击。4.2.1 僵尸网络主要危害(1) 拒绝服务攻击僵尸网络（Botnet）构成了一个攻击平台，利用这个平台可以有效地发 起各种各样的攻击行为，可以导致整个基础信息网络或者重要应用系统瘫痪，也可以导致大量机密或个人隐私泄漏，还可以用来从事网络欺诈等其他 违法犯罪活动。下面是已经发现的利用僵尸网络发动的攻击行为。随着将来 出现各种

23、新的攻击类型，僵尸网络还可能被用来发起新的未知攻击。(2) 发送垃圾邮件一些僵尸网络会设立sockv4、v5 代理，这样就可以利用僵尸网络发送大量的垃圾邮件，而且发送者可以很好地隐藏自身的IP信息。(3) 窃取秘密僵尸网络的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密，例如个人帐号、机密数据等。同时僵尸网络程序能够使用sniffer观 测感兴趣的网络数据，从而获得网络流量中的秘密。(4) 滥用资源攻击者利用僵尸网络从事各种需要耗费网络资源的活动，从而使用户的 网络性能受到影响，甚至带来经济损失。例如：种植广告软件，点击指定的 网站；利用僵尸主机的资源存储大型数据和违法数据等，利用僵尸

24、主机搭建 假冒的银行网站从事网络钓鱼的非法活动。可以看出，僵尸网络无论是对整个网络还是对用户自身，都造成了比较 严重的危害，我们要采取有效的方法减少僵尸网络的危害。4.2.2 僵尸网络感染详情当前网络中检测到个僵尸程序，其中被养鸡场及其变种感染次数最多， 共检测到感染主机数123个。各类僵尸程序感染分布如下。攻击源危胁个数TOP10排行：感染主机危胁个数TOP10排行：4.2.3 僵尸程序简介1. DROP Spamhaus DROP Listed Traffic Inbound危害等级：中危危害情况：该僵尸将受害主机作为跳板从事其他违法行为，将导致分布 式拒绝服务攻击，被用于发送垃圾邮件，滥

25、用网络资源，导致网络通信出现 异常。直接处理措施：建议使用防火墙屏蔽恶意域名、恶意IP地址和屏蔽攻击者IP地址和端 口。请更新杀毒软件特征库并进行全盘扫描。第二处理措施：建议重新安装或选择其它杀毒软件，安装时请使用正版安装源和升级 包。建议使用系统还原功能或GHOST等还原软件将操作系统恢复至备份状态， 并安装最新安全补丁。第三处理措施：建议备份所有资料后，重新安装操作系统并进行升级。或者登录综合服 务平台获取专杀工具或需求技术支持。预防措施：请开启操作系统和杀毒软件自动更新，并定期进行全盘扫描。请使用正 版安装源安装应用软件。使用U盘等移动存储介质和浏览邮件附件前先使用 杀毒软件进行扫描。建

26、议对定期使用GHOST或其他软件对系统进行备份。2. DROP Known bot C&C Server Traffic TCP危害等级：低危危害情况：该僵尸将受害主机作为跳板从事其他违法行为，将导致分布 式拒绝服务攻击，被用于发送垃圾邮件，滥用网络资源，导致网络通信出现 异常。直接处理措施：建议使用防火墙屏蔽恶意域名、恶意IP地址和屏蔽攻击者IP地址和端 口。请更新杀毒软件特征库并进行全盘扫描。第二处理措施：建议重新安装或选择其它杀毒软件，安装时请使用正版安装源和升级 包。建议使用系统还原功能或GHOST等还原软件将操作系统恢复至备份状态， 并安装最新安全补丁。第三处理措施：建议备份所有资料

27、后，重新安装操作系统并进行升级。或者登录综合服 务平台获取专杀工具或需求技术支持。预防措施：请开启操作系统和杀毒软件自动更新，并定期进行全盘扫描。请使用正 版安装源安装应用软件。使用U盘等移动存储介质和浏览邮件附件前先使用 杀毒软件进行扫描。建议对定期使用GHOST或其他软件对系统进行备份。4.3 疑似木马感染情况请开启操作系统和杀毒软件自动更新，并定期进行全盘扫描。请使用正 版安装源安装应用软件。使用U盘等移动存储介质和浏览邮件附件前先使用 杀毒软件进行扫描。建议对定期使用GHOST或其他软件对系统进行备份。4.3.1 疑似木马危害黑客可利用受害主机从事非法活动,会窃取用户重要敏感文件数据以

28、及 将被控用户作为跳板恶意攻击其他主机。一般具有以下危害：1. 木马下载器大量传播，危害游戏产业帐号体系；2. 催生僵尸网络，DDOS攻击流行；3. 通过肉鸡进行点击欺诈，危害广告、搜索产业；4. 诈骗带来大量投诉，导致电子商务网站运营成本升高，企业信誉受损；5. 电子商务，银行用户受损较大，用户流失。4.3.2 疑似木马攻击详情名称影响源IP数名称影响目标IP数RUser及其变种94DRAT2009及其变种24RUser及其变种66网络神偷及其变种6Turkojan远控及其变种1黑色旋风1RUser及其变种94DRAT2009及其变种24DRAT2009及其变种25网络神偷及其变种6Turk

29、ojan远控及其变种1黑色旋风1RUser及其变种94DRAT2009及其变种24网络神偷及其变种11网络神偷及其变种6Turkojan远控及其变种1黑色旋风1RUser及其变种94DRAT2009及其变种24Turkojan远控及其变种1网络神偷及其变种6Turkojan远控及其变种1黑色旋风1RUser及其变种94DRAT2009及其变种24黑色旋风1网络神偷及其变种6Turkojan远控及其变种1黑色旋风14.3.3疑似木马简介恶意域名简介恶意域名也叫恶意网站，是指该网站利用浏览器或者应用软件的漏洞， 嵌入恶意代码，在用户不知情的情况下，对用户的机器进行篡改或破坏的网站。对于弹出插件或提

30、示用户是否将其设为首页的网站，因为需要用户确认， 则不被定义为恶意域名。对于内容不合法、不健康的网站，如果它并未对用户的机器进行篡改或破坏，也不被定义为恶意域名。但是对于仿冒其他网站比如银行网站、电子商务网站的，虽然未对用户的机器进行篡改或破坏，但是也被定义为恶意域名。解决建议对受感染的机器进行恶意代码清理，首先使用杀毒软件对感染主机进行全盘扫描，若不能检测到恶意程序，则说明恶意代码进行了免杀处理，需要使用其它安全工具（例如：冰刃等）通过人工分析的方法，对被感染主机进 行处理。或者通过在防火墙屏蔽恶意域名、恶意IP地址和屏蔽攻击者IP地址和端口的方式进行处理。HTTP下载可执行文件简介通过HT

31、TP直接下载可执行文件是木马下载黑客工具的常见方式，该主机 可能已经被植入木马。解决建议将杀毒软件特征库升级至最新，并对下载的可执行文件进行扫描。使用系统还原功能或GHOST等还原软件将操作系统恢复至备份状态，并安装最新安全补丁。重新安装或选择其它杀毒软件，安装时请使用正版安装源和升级包。备份所有资料后，重新安装操作系统并进行升级。登录综合服务平台， 获取专杀工具或需求技术支持。4.3 恶意链接检测情况恶意链接：恶意链接其实就是一段网页代码，主要以ASP和PHP代码为主。 由于这些代码都运行在服务器端，攻击者通过这段精心设计的代码，在服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透，提权获得服务器的控制权。并且这也是攻击者控制服务器的一条通道，比一般的入侵更具有隐蔽性。本次检测发现以下恶意链接Top10，具体如下：名称影响源IP数名称影响目标IP数恶意域名17恶意域名15处理措施：1. 确定是否为恶意链接2. 删除恶意链接，并检查是否有其它后门程序3. 针对应用程序进行源代码安全审计、渗透测试或安全扫描工作，并对发现 的漏洞进行安全修复。