24 <- SMB Write AndX Response, FID: 0x4000, 72 bytes
25 -> SMB Read AndX Request, FID: 0x4000, 4292 bytes at offset 0
26 <- DCERPC Bind_ack
27 -> SRVSVC NetrpPathCanonicalize request
28 <- SMB Write AndX Response, FID: 0x4000, 1152 bytes
29 -> SMB Read AndX Request, FID: 0x4000, 4292 bytes at offset 0
Initiating Egg download
30 <->
34-170 114572 byte egg download ...
Connecting to IRC server on port 8080
174 <->
176 <- NICK [2K|USA|P|00|eOpOgkIc] USER 2K-USA
177 -> :server016.z3nnet.net NOTICE AUTH
178 Looking up your hostname... "" ...
179 -> ... PING :B203CFB7
180 <- PONG :B203CFB7
182 -> Welcome to the z3net IRC network ...
可以看到,Botnet控制者首先向目标主机发起SMB连接请求,通过协商、认证后,建立连接。Bot受控端会主动连接Botnet控制者,下载一个恶意文件,本地执行之后,登陆IRC服务器,同时被Botnet控制者接管。从用户使用的nickname可以看得出,Bot受控端是一台来自美国的Windows 2K主机。
充分了解到上述行为特征后,能够很快研制出基于NIDS的检测规则,结合特征检测和异常行为分析等技术,在感染W32/IRCBot-TO的主机向外建立非法连接时,第一时间给与报警和响应。
基于互联网安全信誉服务的恶意流量检测技术
特征检测技术能够识别已知的攻击类型,但是面对新的未知攻击时,变得束手无策;异常检测技术对于未知的攻击模式有一定检测能力,但在实现上,要求系统对用户行为的正常态有着较强的敏感性,同时能够及时感知用户行为的变化,否则不可避免会产生虚警。
当前,在"地下黑色产业链"的操控下,恶意程序的变种数量越来越多,传播和分散速度越来越快,将远远超过攻击特征库的更新速度,传统的基于特征匹配的检测和响应速度将逐渐滞后。新兴的混合型攻击通常还把功能实现拆分到多个动作完成,以逃避面向行为分析的安全监控。
应对新的安全威胁挑战,尤其是传播超过90%以上恶意代码的Web威胁,需要一种更加全面、高效的监测和防护机制。绿盟科技突破传统的安全监控思路和方式,首次将互联网安全信誉服务的成果应用到NIDS等传统安全产品中。
该项技术的核心思想是:基于绿盟科技的云安全体系,运用部署在全国多个IDC中的探测引擎,对互联网相关资源进行威胁分析和信誉评级,再将研究成果应用到NIDS等安全产品中,一旦检测到网络中有匹配的恶意流量在传输,即刻给予报警和响应,保护用户免受Web流量中病毒、木马、间谍软件和其它恶意程序的危害。
图3 绿盟科技互联网安全信誉技术应用效果
为了跟踪、维持一个全面、可信的Web信誉列表,绿盟科技投入了大量的网络资源和计算资源,对互联网资源(包括域名、IP地址、URL等)进行持续威胁分析和信誉评级,并记录上述资源的内容和行为变化。同时,该信誉服务成果还融合了来自授权客户和第三方合作伙伴的威胁反馈,以及绿盟科技安全研究团队的风险预警,与目标站点的历史信息进行整合,从而建立针对互联网领域的长期信誉追踪机制,并保证加载此项成果的绿盟NIDS等其它产品能够有效地拦截Web威胁,保护用户的访问不受侵害。
结束语
全面的木马检测应该从网络架构、服务器、客户端,以及数据安全等防护层面充分考虑,可以结合主动脆弱性评估、网络侧实时检测,以及本地木马分析等多种方法,进行综合防治。无论使用哪种方法,都要求方案提供商具备先进的漏洞挖掘和分析能力,同时和主流的系统、软件提供商保持紧密的合作,以确保能够第一时间为用户提供先进的攻击防护能力。
飞速发展的互联网,给企业和用户带来了便捷,也为攻击者提供了制作和分发木马、垃圾邮件、钓鱼站点等恶意流量的温床,如何保护企业和用户免受财产损失、信息泄漏和信誉受损等威胁,已经成为整个互联网相关硬件、软件、服务和网络提供商面临的共同挑战。
(责任编辑:)
