还剩9页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
区智慧政务X网络恶意代码攻击检测分析报告项目名称X区信息中心智慧政务信息安全咨询与服务项目报告版本VI.0文档日期2013年9月17日343530-25-20-15-10-5-完美压力测试及其变种
03.
2.3僵尸程序描述>完美压力测试及其变种僵尸类型完美压力测试及其变种僵尸将受害主机作为跳板从事其他违法行为,将导致分布式拒绝服务攻危害情况击,被用于发送垃圾邮件,滥用网络资源,导致网络通信出现异常危害等级高
12.
118.
110.
23012.
118.
149.
13612.
118.
163.
6412.
118.
17.
5012.
118.
176.
20612.
118.
176.
7512.
118.
28.
14112.
118.
28.
16612.
118.
28.
17112.
118.
3.
7912.
118.
30.
8912.
118.
33.110受害主机
12.
118.
38.
6012.
118.
4.
13912.
118.
4.
21512.
118.
45.
9712.
118.
48.
4712.
118.
56.
17312.
118.
56.
22012.
118.
62.
5712.
118.
66.
21012.
118.
69.
3912.
118.
70.
15612.
118.
70.
19512.
118.76,
22312.
118.
83.
15112.
118.
83.
23612.
118.
84.
101182.
86.
197.44江西省电信
58.
218.
214.240江苏省徐州市电信攻击来源
222.
73.
233.203上海市电信
74.
125.
25.109美国加利福尼亚州山景市谷歌公司
112.
25.
32.204江苏省移动
119.
167.
206.160山东省青岛市联
202.
97.
184.2辽宁省沈阳市联通
114.
80.
204.上海市静安区电信203上海市移动
120.
204.
205.浙江省台州市电信28四川省绵阳市电信IDC机房(科技城机房)
122.
226.
161.14江苏省镇江市电信IDC机房
118.
123.
22.江苏省盐城市电信ADSL
180.
153.
115.138上海市迅雷离线服务器
202.
102.
65.35江苏省常州市电信22L
130.
189.135上海市怒江移动IDC机房
112.
121.
187.251香港湾仔区Simcentric Solutions有限公司
58.
211.
80.74江苏省苏州市电信
182.
140.
177.39四川省电信
183.
136.
203.8浙江省电信
184.
135.
168.240上海市移动
185.
80.
174.40上海市电信
223.
202.
0.202北京市蓝汛通信
222.
73.
95.72上海市电信
183.
136.
150.149浙江省电信
124.
232.
140.29湖南省长沙市电信IDC机房
218.
1.
73.17上海市电信
221.
181.
104.12上海市移动
3.
2.4解决方案
(1)直接处理措施建议使用防火墙屏蔽恶意域名、恶意IP地址和屏蔽攻击者IP地址和端口请更新杀毒软件特征库并进行全盘扫描
(2)第二处理措施建议重新安装或选择其它杀毒软件,安装时请使用正版安装源和升级包建议使用系统还原功能或GHOST等还原软件将操作系统恢复至备份状态,并安装最新安全补丁
(3)第三处理措施建议备份所有资料后,重新安装操作系统并进行升级或者登录综合服务平台获取专杀工具或需求技术支持
(4)预防措施请开启操作系统和杀毒软件自动更新,并定期进行全盘扫描请使用正版安装源安装应用软件使用U盘等移动存储介质和浏览邮件附件前先使用杀毒软件进行扫描建议对定期使用GHOST或其他软件对系统进行备份目录
一、概述
11.1目的
11.2检测方式
11.3检测时间1
二、网络恶意攻击行为综述
12.1恶意代码攻击行为统计1
三、网络恶意攻击行为详解
23.1木马感染情况
23.L1木马主要危害
23.
1.2木马感染详情
33.
1.3木马描述
33.L4解决方案
63.2僵尸网络感染情况
732.1僵尸网络主要危害
73.
73.
83.
一、概述
1.1目的网络恶意代码检测主要是帮助上海市X区行政服务中心了解当前网络的安全状况,分析当前网络面临的安全隐患,并发现上海市X区行政服务中心网络中是否存在需要立即改进的网X全威胁,为下阶段做出合理的安全保护措施提供依据,保障X区信息中心智慧政务网络的正常运行,维护良好的社会形象
1.2检测方式本次通过接入X区互联网出口处旁路镜像的方式对网络中进出的数据包进行抓取检测,分析X区信息中心智慧政务网络中是否有网络恶意攻击行为的存在
1.3检测时间本次检测X区信息中心智慧政务网络的时间周期为2013年8月9日-2013年9月12日
二、网络恶意攻击行为综述
2.1恶意代码攻击行为统计本次对X区信息中心智慧政务网络进行恶意代码检测,共检测发现网络恶意攻击事件共109起,其中僵尸网络攻击34次,木马攻击75次,网站后门攻击0次,疑似木马攻击0次网络恶意代码攻击行为统计如图所示
三、网络恶意攻击行为详解
3.1木马感染情况
3.
1.1木马主要危害1窃取密码一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外还有很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵,密码将很容易被窃取2文件操作控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属性等一系•列操作,基本涵盖了WINDOWS平台上所有的文件操作功能3修改注册表控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值有了这项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽的一系列高级操作4系统操作这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标,键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息5视频监控控制端可以监控被控端的桌面,对远程的桌面进行截图及录像,记录远程所有操作,也可以远程开启被控端的摄像头,对被控端操作人员进行监控6机密信息窃取控制端可以操作被控终端的系统文件,检索查询电脑中所有数据,并且可以窃取其中的机密信息,或黑客感兴趣的数据
3.
1.2木马感染详情木马种类危害程度被控主机网络神偷及其变种高39饭客远控及其变种高34中国黑客组织VIP远控及其变种高1SYNC改版灰鸽子变种高13y
3.
1.3木马描述网络神偷及其变种木马类型网络神偷及其变种病毒会将自己拷贝到系统目录下命名为lexplorer.exe,然后在注册表的自启动项中添加“Internet Explorerv的病毒键值运行时会每隔一分钟危害情况就连接一次病毒网站,并与病毒作者进行沟通,企图控制用户的电脑,给用户带来损失危害等级高
12.
118.
13.
20812.
118.
21.
8512.
118.
28.214受害主机
12.
118.
32.
21012.
118.
36.
9812.
118.
66.
22912.
118.
68.
6912.
118.
69.16812,
118.
83.
17512.
118.
83.
6112.
118.
89.
5212.
118.
92.
5512.
118.
104.
7712.
118.
109.
16112.
118.
110.
5712.
118.
141.
10012.
118.
141.
10212.
118.
143.
4312.
118.
149.
21512.
118.
152.
37120.
238.
56.211中国移动
14.
134.
185.7宁夏固原市原州区电信
122.
84.
128.106上海市铁通
122.
75.
177.168河北省铁通
183.
191.
243.148山西省运城市联通
58.
40.
236.37上海市奉贤区电ADSL
183.
129.
198.137浙江省杭州市电信
218.
67.
66.190福建省三明市电信
116.
229.
155.18上海市电信
110.
17.
69.141内蒙古包头市联通攻击来源
122.
80.
135.144山东省威海市铁通
116.
11.
11.124广西北海市(海城区)电信
110.
244.
240.144河北省沧州市联通
61.
173.
84.135上海市徐汇区/长宁区ADSL
117.
82.
137.120江苏省苏州市电信
122.
72.
52.39甘肃省铁通
114.
227.
175.198江苏省常州市电信
112.
238.
92.88山东省烟台市联通
222.
64.
5.50上海市闵行区电ADSL>饭客远控及其变种木马类型饭客远控及其变种病毒会利用全局消息钩子注入指定文件到其他进程,企图控制用户的电危害情况脑,给用户带来损失危害等级高12,
118.
3.
12212.
118.
7.
16412.
118.
12.
20912.
118.
13.
10012.
118.
36.
19812.
118.
38.
18312.
118.
63.
22312.
118.
64.
9012.
118.
66.
20612.
118.
76.
19312.
118.
76.
712.
118.
81.36受害主机
12.
118.
87.
14112.
118.
104.
14912.
118.
106.
24212.
118.
110.
9812.
118.
114.
3112.
118.
136.
3212.
118.
142.
19512.
118.
156.
4012.
118.
161.
11912.
118.161,
8412.
118.
177.
16412.
118.
179.
4612.
118.
198.
3212.
118.
198.
81112.
25.
26.83江苏省移动
114.
80.
174.40上海市电信
61.
172.
207.239海市电信
61.
164.
241.71浙江省丽水市电信
218.
242.
125.226上海市杨浦区/长宁区有线通
182.
140.
134.43四川省电信
118.
72.
255.139山西省大同市联通
101.
226.
181.110上海市电信
114.
80.
112.18上海市电信攻击来源
122.
224.
6.16浙江省绍兴市电信
114.
80.
143.158上海市电信
101.
226.
178.100上海市电信
42.
157.
0.20安徽省合肥市雷傲科技IDC机房
110.
104.
29.39辽宁省铁通
222.
55.
81.120重庆市铁通ADSL
218.
92.
219.7江苏省盐城市(大丰市)电信
180.
153.
100.183上海市电信
114.
80.
174.50上海市电信>中国黑客组6织
0.V2I15P.远12控
8.及20其2山变东种省莱芜市联通木马类型中国黑客组织VIP远控及其变种病毒会劫持“路由与远程访问”服务,利用服务开机自动加载非法dll,企图控制用户的电脑,给用户带来损失危害情况危害等级高受害主机
12.
118.
192.137攻击来源
106.
10.
137.175新加坡Yahoo SYNC改版灰鸽子变种木马类型SYNC改版灰鸽子变种灰鸽子Hack.Huigezi是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,、用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举更甚的是,他们还可以连续捕获远程危害情况电脑屏幕,还能监控被控电脑上的摄像头,自动开机不开显示器并利用摄像头进行录像截至2006年底,“灰鸽子”木马已经出现了6万多个变种危害等级高受害主机
12.
118.
133.93攻击来源
171.
12.
170.238河南省电信
3.
1.4解决方案1直接处理措施建议使用防火墙屏蔽恶意域名、恶意IP地址和屏蔽攻击者IP地址和端口请更新杀毒软件特征库并进行全盘扫描2第二处理措施建议重新安装或选择其它杀毒软件,安装时请使用正版安装源和升级包建议使用系统还原功能或GHOST等还原软件将操作系统恢复至备份状态,并安装最新安全补丁3第三处理措施建议备份所有资料后,重新安装操作系统并进行升级或者登录综合服务平台获取专杀工具或需求技术支持4预防措施请开启操作系统和杀毒软件自动更新,并定期进行全盘扫描请使用正版安装源安装应用软件使用U盘等移动存储介质和浏览邮件附件前先使用杀毒软件进行扫描建议对定期使用GHOST或其他软件对系统进行备份
3.2僵尸网络感染情况僵尸网络Botnet构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动下面是已经发现的利用僵尸网络发动的攻击行为随着将来出现各种新的攻击类型,僵尸网络还可能被用来发起新的未知攻击
3.
2.1僵尸网络主要危害⑴拒绝服务攻击使用僵尸网络发动DDos攻击是当前最主要的威胁之一,攻击者可以向自己控制的所有bots发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到DDos的目的由于僵尸网络可以形成庞大规模,而且利用其进行DDos攻击可以做到更好地同步,所以在发布控制指令时,能够使得DDos的危害更大,防范更难⑵发送垃圾邮件一些僵尸网络会设立sockv
4、v5代理,这样就可以利用僵尸网络发送大量的垃圾邮件,而且发送者可以很好地隐藏自身的IP信息3窃取秘密僵尸网络的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密,例如个人帐号、机密数据等同时僵尸网络程序能够使用sniffer观测感兴趣的网络数据,从而获得网络流量中的秘密4滥用资源攻击者利用僵尸网络从事各种需要耗费网络资源的活动,从而使用户的网络性能受到影响,甚至带来经济损失例如种植广告软件,点击指定的网站;利用僵尸主机的资源存储大型数据和违法数据等,利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动可以看出,僵尸网络无论是对整个网络还是对用户自身,都造成了比较严重的危害,我们要采取有效的方法减少僵尸网络的危害
3.
2.2僵尸网络感染详情僵尸类型危害程度感染主机完美压力测试及其变种高34。