- 1、本文档共13页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
五月威胁情报态势报告-哈勃分析系统-腾讯
腾讯反病毒实验室 哈勃分析系统
五月威胁情报态势报告
——CC服务器篇
报告编号:2016第2期
发布时间:2016年6月
目录
一、 报告概述1
1. 关于我们1
2. 关于本报告1
二、 CC服务器威胁情报概述2
三、 CC服务器域名情报3
1. 顶级域名分布3
2. 动态域名使用情况4
四、 CC服务器IP情报5
1. 地理位置分布5
2. 使用端口分布6
五、 恶意样本情报8
1. Downloader类木马8
2. Worm_email类木马8
3. Backdoor类木马9
六、 手机木马CC服务器情报9
七、 总结与建议10
一、报告概述
威胁情报,指的是对计算机系统 (包括但不限于大型机、服务站、个人电脑、手机等移
动设备、嵌入式设备等)中,可能对使用者产生威胁的程序、数据、流量等,进行感知、识
别、提取、汇总后归纳而成的情报。
随着恶意产业的不断发展,在传统的基于恶意代码和特征的打击方式之外,基于威胁情
报的恶意威胁检测和防御的方法正在兴起,并成为近几年的热门方向。
在这个背景下,腾讯反病毒实验室哈勃分析系统推出 “威胁情报态势报告”系列报告,
目的是在安全行业内交流我们对于威胁情报的认识,分享我们对于威胁情报的利用方法,同
时曝光恶意木马作恶手法和恶意产业资源,携手各安全厂商共同开展打击。
1.关于我们
腾讯反病毒实验室是腾讯旗下的安全特色团队,从 “自研引擎能力、哈勃分析系统、
AP 前沿技术分析”等多个角度入手,通过建立 “安全查杀能力、热点快速响应能力及病
毒样本分析”等全面、系统、一体化的防护措施,为腾讯安全实力进一步提供了强大技术支
撑。独立开发的杀毒引擎以及云引擎已经获得了VB100、AV-C、西海岸、AV-TES 等多家
国际著名评测机构认证,并且已被用于腾讯电脑管家和手机管家等安全产品之中。
哈勃分析系统是腾讯反病毒实验室依托多年技术积累自主研发的一套样本安全检测系
统,支持对Windows程序、安卓应用、文档、脚本等文件类型的分析检测。哈勃系统采用
虚拟运行环境,在该环境中使用行为激发系统诱使样本运行出与真实环境一致的动态行为,
并且对其执行过程进行完整捕获。通过重点监控其中的高可疑异常行为,同时结合行为判定、
静态特征判定、大数据学习引擎判定等多种手段,哈勃系统可以有效地识别出恶意样本。哈
勃分析系统拥有调度灵活的大规模分析集群,实现了千万级的样本日吞吐量,可以对海量样
本进行高效的筛选和识别。
2.关于本报告
本报告是哈勃分析系统2016年发布的第2期威胁情报态势报告,子主题是“CC服务
器”。
CC服务器的全称是CommandandControlServer,直译过来的意思是 “命令及控制服
务器”。随着恶意木马产业的发展,有很多木马早已摆脱了过去“单打独斗”的作战方式,
而是通过网络相互关联起来,通过指挥大量受到感染的计算机共同行动,进而发挥出协同的
效果,可以集中起来同时对某个目标进行打击,也可以互相分散各自所承受的风险。这其中,
进行指挥的关键节点便是CC服务器。它一方面可以接收被控制的计算机(也被称为肉鸡)
上面活跃的木马传来的信息,了解肉鸡的系统环境、可用能力甚至是隐私信息等秘密;另一
方面也可以向肉鸡发送控制指令,指示肉鸡中的木马执行预定义的恶意动作,满足控制者各
种不同的需求,甚至可以对木马进行在线升级,使木马具备更多作恶的能力,进而造成更大
的破坏。
1
哈勃分析系统整理了五月全月系统自动捕获的威胁情报中,与木马连接的CC服务器
相关的情报,然后通过连接使用的域名、IP、请求数据等多个维度,对相关威胁情报进行了
统计和分析。
二、CC服务器威胁情报概述
各大安全厂商已经将CC服务器数据作为威胁情报中的一个重要组成部分。通过合理
使用此数据,可以在不直接接触终端的情况下,在网络传输的中间环节中识别传输的可疑数
据,对危险数据包进行告警或者直接阻断。如果企业安全部门或者网络运营商等能够充分使
用这类威胁情报数据的话,可以在网络中拦截大量类似的恶意攻击行为,以达到保护用户的
目的。
文档评论(0)