当前位置：文档之家› 智慧政务网络恶意代码攻击检测报告

智慧政务网络恶意代码攻击检测报告

X区智慧政务网络恶意代码攻击检测报告目录1概述 (2)2检测结果汇总 (3)3感染威胁详情 (4)3.1木马感染情况 (4)3.1.1木马主要危害 (4)3.1.2木马感染详情 (4)3.1.3木马描述及解决方案 (6)3.2僵尸网络感染情况 (8)3.2.1僵尸网络主要危害 (8)3.2.2僵尸网络感染详情 (9)3.2.3僵尸程序描述及解决方案 (10)1 概述当前木马和僵尸网络攻击已经成为互联网安全安的主要威胁，由于其涉及很多经济、政治等因素，致使这些恶意威胁发展变化非常迅速，传统的安全防御手段难以及时检测、定位、清除这类恶意威胁。

上海市X区非常重视内部网X全，采用多种安全防范设备或措施提升整体信息安全水平，为检测内部木马等恶意攻击行为威胁，在网络中部署了一套僵尸木马网络攻击行为预警系统。

上海X信息安全技术有限公司是一家专门从事网络恶意攻击行为研究的高新企业，在恶意代码检测领域正在开展专业的探索和研究。

目前在上海市X区智慧政务网络中部署有一台网络恶意代码攻击检测系统，通过旁路镜像的方式接入上海市X区智慧政务网络中，当前系统旁路挂载在机房外网交换机上，流量在300 Mb/s。

当前部署的网络恶意代码攻击检测系统能够7*24监测网络中的流量并记录X区智慧政务网络内的业务服务器所感染的网站后门、木马或僵尸网络等恶意代码的情况。

2 检测结果汇总自2013年7月8日到2013年8月8日，这一段时间内，共检测到僵尸程序攻击9352次，木马攻击3666次，网站后门攻击174次。

目前X 区智慧政务网络威胁以僵尸网络程序攻击、木马攻击为主，并且检测到9352次僵尸网络攻击行为，需要尽快对这些木马、僵尸程序进行处理，以防止机密数据失窃密。

如下为所有内网络内部攻击行为分布图，通过图可以直观看出，僵尸程序、木马攻击行最为严重。

政务网络恶意代码攻击趋势图10002000300040005000600070008000900010000僵尸程序攻击木马攻击网站后门攻击935236661743 感染威胁详情3.1 木马感染情况3.1.1 木马主要危害(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外还有很多木马还提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵，密码将很容易被窃取。

(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。

有了这项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端上木马的触发条件设置得更隐蔽的一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标，键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息。

(5)视频监控：控制端可以监控被控端的桌面，对远程的桌面进行截图及录像，记录远程所有操作，也可以远程开启被控端的摄像头，对被控端操作人员进行监控。

(6)机密信息窃取：控制端可以操作被控终端的系统文件，检索查询电脑中所有数据，并且可以窃取其中的机密信息，或黑客感兴趣的数据。

3.1.2 木马感染详情当前网络中检测到木马感染主机数324台，其中Unknown Dropper (2)感染主机数最多，共检测到感染主机数58台。

当前网络中Unknown Dropper (2)控制主机数最多，连接次数很高，建议尽快对该木马进行处理。

3.1.3 木马描述及解决方案木马描述：1. Unknown Dropper (2)：该木马的主要危害为恶意控制用户电脑、破坏用户操作系统、窃取用户重要敏感文件数据以及将被控用户作为跳板恶意攻击其他主机。

2. 上兴远程控制系列变种：上兴远程控制是国内传播极为广泛的黑客工具之一，可对受害主机进行文件传输、屏幕监控、摄像头监控等恶意操作，危害极大。

3. 波尔远控系列：波尔远控类木马是国内常见的远程控制木马。

该木马能对用户资料、密码、文件等进行窃取，有较大危害。

4. Bifrost 系列变种：Bifrost 是国外黑客编写的木马，其国内版本有时被称为彩虹桥，木马程序体积较小，功能主要有文件管理传输、进程服务管理。

对受害者主要攻击手段为文件窃取和密码收集5. TeamViewer 系列：teamviewer 是德国GmbH 公司开发的远程桌面和文件共10203040506058565444232121181514木马主机感染详情享软件，但经过黑客破解和修改后可用于非法用途。

6.涛涛远程系列: 涛涛远程最小版是国内黑客论坛涛涛论坛发布的木马软件，目前传播范围并不大。

但具有完整的木马功能，能对用户信息资料安全带来严重风险。

7.Pandex detected：该木马的主要危害为恶意控制用户电脑、破坏用户操作系统、窃取用户重要敏感文件数据以及将被控用户作为跳板恶意攻击其他主机。

8.上兴远程控制系列: 上兴远程控制是国内传播极为广泛的黑客工具之一，可对受害主机进行文件传输、屏幕监控、摄像头监控等恶意操作，危害极大。

9.Trojan.Win32.Generic：该木马的主要危害为恶意控制用户电脑、破坏用户操作系统、窃取用户重要敏感文件数据以及将被控用户作为跳板恶意攻击其他主机。

10.Dropper.Win32.StartPage.cub：该木马是一种脚本木马，其主要危害为下载恶意程序，破坏用户操作系统、窃取用户重要敏感文件数据以及将被控用户作为跳板恶意攻击其他主机。

解决方案：直接处理措施：建议使用防火墙屏蔽恶意域名、恶意IP地址和屏蔽攻击者IP地址和端口。

请更新杀毒软件特征库并进行全盘扫描。

第二处理措施：建议重新安装或选择其它杀毒软件，安装时请使用正版安装源和升级包。

建议使用系统还原功能或GHOST等还原软件将操作系统恢复至备份状态，并安装最新安全补丁。

第三处理措施：建议备份所有资料后，重新安装操作系统并进行升级。

或者登录综合服务平台获取专杀工具或需求技术支持。

预防措施：请开启操作系统和杀毒软件自动更新，并定期进行全盘扫描。

请使用正版安装源安装应用软件。

使用U盘等移动存储介质和浏览邮件附件前先使用杀毒软件进行扫描。

建议对定期使用GHOST或其他软件对系统进行备份。

3.2 僵尸网络感染情况僵尸网络（Botnet）构成了一个攻击平台，利用这个平台可以有效地发起各种各样的攻击行为，可以导致整个基础信息网络或者重要应用系统瘫痪，也可以导致大量机密或个人隐私泄漏，还可以用来从事网络欺诈等其他违法犯罪活动。

下面是已经发现的利用僵尸网络发动的攻击行为。

随着将来出现各种新的攻击类型，僵尸网络还可能被用来发起新的未知攻击。

3.2.1 僵尸网络主要危害(1)拒绝服务攻击使用僵尸网络发动DDos攻击是当前最主要的威胁之一，攻击者可以向自己控制的所有bots发送指令，让它们在特定的时间同时开始连续访问特定的网络目标，从而达到DDos的目的。

由于僵尸网络可以形成庞大规模，而且利用其进行DDos攻击可以做到更好地同步，所以在发布控制指令时，能够使得DDos的危害更大，防范更难。

(2)发送垃圾邮件一些僵尸网络会设立sockv4、v5 代理，这样就可以利用僵尸网络发送大量的垃圾邮件，而且发送者可以很好地隐藏自身的IP信息。

(3)窃取秘密僵尸网络的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密，例如个人帐号、机密数据等。

同时僵尸网络程序能够使用sniffer观测感兴趣的网络数据，从而获得网络流量中的秘密。

(4)滥用资源攻击者利用僵尸网络从事各种需要耗费网络资源的活动，从而使用户的网络性能受到影响，甚至带来经济损失。

例如：种植广告软件，点击指定的网站；利用僵尸主机的资源存储大型数据和违法数据等，利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。

可以看出，僵尸网络无论是对整个网络还是对用户自身，都造成了比较严重的危害，我们要采取有效的方法减少僵尸网络的危害。

3.2.2 僵尸网络感染详情当前网络中检测到僵尸程序感染主机数637台，其中DROP Spamhaus DROP Listed Traffic Inbound系列感染主机数最多，共检测到感染主机数310台。

各类僵尸程序感染分布如下：恶意代码主机感染分布图3.2.3 僵尸程序描述及解决方案僵尸类型描述：➢ DROP Spamhaus DROP Listed Traffic Inbound➢ DROP Known bot C&C Server Traffic TCP050100150200250300350310226867521➢Exploit kit attack activity likely hostile➢Conficker.Kernelbot.MS08-067➢Unknow BOT➢Worm.Win32.Vobfus.gen!D-0➢IM-Worm.Win32.Yahos.lm解决方案：直接处理措施：建议使用防火墙屏蔽恶意域名、恶意IP地址和屏蔽攻击者IP地址和端口。