案列概述
2017年11月17日15点34分�,�,�,某单位安排的泰合清静治理平台(TSOC)监测到有装备疑似熏染木马�,�,�,并在第一时间爆发了告警�,�,�,告警信息显示为“L2_ADS_肉鸡装备对外毗连”�。�。。�。�。�。随后泰合北斗团队凭证泰合清静治理平台的告警信息协助运维职员对该事务举行了剖析和视察�,�,�,最终确认已有10台装备熏染恶意程序�,�,�,且被熏染主机一直实验与恶意控制效劳器举行毗连�。�。。�。�。�。
该事务详细告警如下:
清静事务剖析
泰合清静治理平台的焦点功效是网络用户营业情形中种种装备的清静日志�,�,�,在收罗层对日志举行过滤、合并、范式化、补全等一系列 ETL 数据处置惩罚历程�,�,�,对日志数据举行降噪�,�,�,保存有用数据�;�;�;;;然后在平台剖析处置惩罚层举行自动化、智能化的关联剖析�,�,�,发明真实的清静威胁�,�,�,并协助运维职员对清静告警举行处置惩罚�。�。。�。�。�。
1) 清静日志
用户在网络环安排了清静检测装备�,�,�,包括入侵防护系统(IPS)、WEB 应用防火墙(WAF)和状态检测防火墙�。�。。�。�。�。泰合清静治理平台网络了用户网络情形中主要营业效劳器、焦点网络装备、所有清静装备和主要应用系统的清静相关的日志数据�。�。。�。�。�。
2) 清静日志 ETL 处置惩罚
泰合清静治理平台对吸收到的日志举行范式化剖析�,�,�,对原始日志中的主要字段举行提取�,�,�,对日志中缺氨赡要害信息举行了补全�。�。。�。�。�。
3) 事务关联剖析
泰合北斗效劳职员配合运维职员在泰合清静治理平台建设 “L2_ADS_肉鸡装备对外毗连”的剖析规则�,�,�,关联规则剖析场景的可视化编辑界面如图所示:
被监测装备熏染病毒后�,�,�,触发了告警�,�,�,告警信息如下:
对告警举行追溯�,�,�,审查原始事务信息�,�,�,较量详细的纪录了事务的相关属性�,�,�,如下图所示:
对该类事务一周内的日志信息做统计�,�,�,发明一周内共阻挡到64927条该类日志�,�,�,详细内容如下图所示:
内网终端一直的向目的主机221.130.179.36发送数据包�,�,�,与该地点相关IOC如下图:
泰合威胁情报
使用TSOC可视化剖析工具展示出目今事务(前50条)的会见关系如下图:
对所有事务(64927条)举行统计�,�,�,内部保存恶意程序毗连行为的装备如下表:
通常浅易的僵尸网络事情流程如下图所示�,�,�,首先主机被熏染恶意程序�,�,�,此类程序会指引主机去毗连僵尸网络控制效劳器�,�,�,通过控制效劳器获取响应的指令从而去熏染其它的主机或者对互联网上其它主机举行攻击�。�。。�。�。�。
僵尸网络事情流程
在本次案例中�,�,�,泰合清静治理平台监测到被熏染装备一直的毗连恶意僵尸网络�,�,�,且已经被IPS阻断�。�。。�。�。�。同时�,�,�,对近段时间被熏染装备的行为举行剖析�,�,�,未发明被熏染装备对其它IP提倡攻击的行为�,�,�,也没有其它装备对被熏染装备提倡毗连�。�。。�。�。�。
针对本次案例中的问题�,�,�,北斗团队建议用户接纳以下紧迫步伐:
1) 将被熏染装备离线�,�,�,举行网络隔离�。�。。�。�。�。
2) 修复系统误差�,�,�,完成后重启�。�。。�。�。�。
3) 使用杀毒软件举行查杀�,�,�,完成后重启装备�。�。。�。�。�。
4) 完成启动后再次使用杀毒软件举行查杀�。�。。�。�。�。
(泉源:918博天堂)
京公网安备11010802024551号