智慧政务网络恶意代码攻击检测报告.pdf

智智慧慧政政务务⽹⽹络络恶恶意意代代码码攻攻击击检检测测报报告告

X区智慧政务⽹络恶意代码攻击检测报告

⽬录

1概述(2)

2检测结果汇总(3)

3感染威胁详情(4)

3.1马感染情况(4)

3.1.1马主要危害(4)

3.1.2马感染详情(4)

3.1.3马描述及解决⽅案(6)

3.2僵⼫⽹络感染情况(8)

3.2.1僵⼫⽹络主要危害(8)

3.2.2僵⼫⽹络感染详情(9)

3.2.3僵⼫程序描述及解决⽅案(10)

1概述

当前马和僵⼫⽹络攻击已经成为互联⽹安全安的主要威胁，由于其涉及很多经济、政治等因素，致使这些恶意威胁发展变化

⾮常迅速，传统的安全防御⼿段难以及时检测、定位、清除这类恶意威胁。上海市X区⾮常重视内部⽹X全，采⽤多种安全防

范设备或措施提升整体信息安全⽔平，为检测内部马等恶意攻击⾏为威胁，在⽹络中部署了⼀套僵⼫马⽹络攻击⾏为预警

系统。

上海X信息安全技术有限公司是⼀家专门从事⽹络恶意攻击⾏为研究的⾼新企业，在恶意代码检测领域正在开展专业的探索和

研究。⽬前在上海市X区智慧政务⽹络中部署有⼀台⽹络恶意代码攻击检测系统，通过旁路镜像的⽅式接⼊上海市X区智慧政

务⽹络中，当前系统旁路挂载在机房外⽹交换机上，流量在300Mb/s。当前部署的⽹络恶意代码攻击检测系统能够7*24监测

⽹络中的流量并记录X区智慧政务⽹络内的业务服务器所感染的⽹站后门、马或僵⼫⽹络等恶意代码的情况。

2检测结果汇总

⾃2013年7⽉8⽇到2013年8⽉8⽇，这⼀段时间内，共检测到僵⼫程序攻击9352次，马攻击3666次，⽹站后门攻击174次。

⽬前X区智慧政务⽹络威胁以僵⼫⽹络程序攻击、马攻击为主，并且检测到9352次僵⼫⽹络攻击⾏为，需要尽快对这些

马、僵⼫程序进⾏处理，以防⽌机密数据失窃密。如下为所有内⽹络内部攻击⾏为分布图，通过图可以直观看出，僵⼫程序、

马攻击⾏最为严重。

政务⽹络恶意代码攻击趋势图

1000

2000300040005000600070008000900010000僵⼫程序攻击

马攻击

⽹站后门攻击

9352

3666

174

3感染威胁详情

3.1马感染情况

3.1.1马主要危害

(1)窃取密码：⼀切以明⽂的形式，*形式或缓存在CACHE中的密码都能被马侦测到，此外还有很多马还提供有击键记录

功能，它将会记录服务端每次敲击键盘的动作，所以⼀旦有马⼊侵，密码将很容易被窃取。

(2)⽂件操作：控制端可藉由远程控制对服务端上的⽂件进⾏删除,新建,修改,上传,下载,运⾏,更改属性等⼀系列操作,基本涵盖了

WINDOWS平台上所有的⽂件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，⼦键，键值。有了这项功能控制端就可以禁

⽌服务端软驱，光驱的使⽤，锁住服务端的注册表，将服务端上马的触发条件设置得更隐蔽的⼀系列⾼级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端⽹络连接，控制服务端的⿏标，键盘，监视服务端桌⾯

操作，查看服务端进程等，控制端甚⾄可以随时给服务端发送信息。

(5)视频监控：控制端可以监控被控端的桌⾯，对远程的桌⾯进⾏截图及录像，记录远程所有操作，也可以远程开启被控端的

摄像头，对被控端操作⼈员进⾏监控。

(6)机密信息窃取：控制端可以操作被控终端的系统⽂件，检索查询电脑中所有数据，并且可以窃取其中的机密信息，或⿊客

感兴趣的数据。

3.1.2马感染详情

当前⽹络中检测到马感染主机数324台，其中nknownDropper(2)感染主机数最多，共检测到感染主机数58台。

当前⽹络中nknownDropper(2)控制主机数最多，连接次数很⾼，建议尽快对该马进⾏处理。

3.1.3马描述及解决⽅案

马描述：

1.nknownDropper(2)：该马的主要危害为恶意控制⽤户电脑、破坏⽤户操作系统、窃取⽤户重要敏感⽂件数据以及将被

控⽤户作为跳板恶意攻击其他主机。

2.上兴远程控制系列变种：上兴远程控制是国内传播极为⼴泛的⿊客⼯具之⼀，可对受害主机进⾏⽂件传输、屏幕监控、摄

像头监控等恶意操作，危害极⼤。

3.波尔远控系列：波尔远控类马是国内常见的远程控制马。该马能对⽤户资料、密码、⽂件等进⾏窃取，有较⼤危

害。

4.Bifrost系列变种：Bifrost是国外⿊客编写的马，其国内版本有时被称为彩虹桥，马程序体积较⼩，功能主要有⽂件管

理传输、进程服务管理。对受害者主要攻击⼿