-
1 情景案例
-
2 项目分析
政府单位某客户感染僵尸网络病毒应急事件处置
2022年4月,奇安信应急响应团队接到政府单位某客户求助,公司内网机器感染僵尸网络病毒,持续对外发起连接,客户希望对受害机器进行排查,并溯源入侵途径。
应急人员对现场防火墙设备进行排查发现,主机A(x.x.x.36)持续与C2服务器(47.242.64.95)建立通讯。对主机A(x.x.x.36)进行系统排查,成功定位到发起外连的sAep.exe及eAup.exe、tp.exe、desktop.ini等多个Blackmoon僵尸网络病毒文件。
应急人员对病毒文件逐一进行分析发现,病毒文件eAup.exe的流量特征为外连恶意地址154.22.121.18:7788下载并执行病毒文件tp.exe、desktop.ini。其中tp.exe运行后会加载desktop.ini中的配置信息,将浏览器主页篡改成域名为i2678.cc的钓鱼网站,当主机A(x.x.x.36)使用者打开浏览器访问该钓鱼网站后,主机A就会自动外连恶意地址103.142.8.82并下载病毒后门文件sAep.exe至本地。继续分析发现,sAep.exe功能为与C2服务器(47.242.64.95)建立连接,并定期自启动确保连接正常,使攻击者达到长期控制目的。
最终,经过调研分析,应急人员确认本次事件因主机A使用者安全意识不足,违规使用了携带病毒的U盘,致使主机A(x.x.x.36)感染Blackmoon僵尸网络病毒,从而导致本次外连事件发生。
防护建议
建议部署病毒防护软件,对移动存储设备进行查杀,在确定无病毒的情况下,再进行其他操作;
非业务需要,禁止未授权移动存储设备接入主机,应使用白名单的方式只允许可信任移动存储设备接入;
禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;
加强日常安全巡检制度,定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查,及时修复漏洞、安装补丁,将信息安全工作常态化;
建议安装防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器病毒预防、抑制及清除能力。
案例链接:https://blog.csdn.net/glb111/article/details/130021065
网络安全你、我、他
为防止遭受僵尸网络病毒的侵害,提升网络安全意识至关重要。在日常生活中,我们应采取以下措施以增强网络安全防护。定期对计算机系统及软件进行检查,并及时安装更新,以修补存在的安全漏洞。安装并维护一款性能卓越的防病毒软件,确保其定期更新,并定期执行病毒扫描以侦测潜在威胁。在处理电子邮件时,应保持警惕,避免轻易打开未知发件人发送的附件或链接。设置强密码,并避免使用过于简单的密码组合,同时定期更换密码以提升安全性。在网络上谨慎分享个人信息,以保护个人隐私。鼓励并组织学习网络安全相关知识,了解网络中存在的各种风险。建立完善的网络安全监测和应对机制,确保在安全事件发生时能够迅速作出反应。持续监控网络活动,一旦发现异常,应立即采取措施进行处理。
