登录
CSNA会员注册
找回密码
搜索
搜索
本版
用户
CSNA网络分析论坛
»
首页
›
流量分析
›
网络分析
›
(原创)利用科来发现某单位新型蠕虫的案例 ...
返回列表
发帖
查看:
6746
|
回复:
10
(原创)利用科来发现某单位新型蠕虫的案例
[复制链接]
mzr525
mzr525
当前离线
积分
49
发表于 2010-2-1 10:35:22
|
显示全部楼层
|
阅读模式
前段时间去拜访客户,这个客户是一家较大的事业单位。该单位信息中心网管人员反应,最近一段时间内网络基本正常。但有单位内经常有人反映他们的QQ账号被盗,和网络有时候打开网页比较慢。听取了该工程师的反映后决定在其网络总出口进行抓包。
网络拓扑简单说下:该单位网络架构较为复,与别人不同的是,该单位网络有4台代理服务器用来做转发和安全。基本架构为: Internet---FW--代理server--核心交换--汇聚交换--接入交换。节点数大概是600.
本来考虑该单位有代理服务器,软件部署安装到代理服务器是最好选择。但由于该单位代理服务器为4台,而且平时压力也比较大。便选择在核心交换机 做镜像的方式抓包分析。镜像连接4台代理服务器的SW端口。抓包大概10分钟后停止(抓包中将缓存设置大些可以保存更多数据包分析更加方便,笔者本次抓包缓存设置为400M)抓包数据共有500M
根据我之前的判断 我认为该网络中可能存在扫描或蠕虫情况,于是我定位到了端点视图,选择网络连接排名,我发现有很多IP 流量不大,但连接数目过多,例如主机 192.168.66.42该主机通信流量为1.4M但连接占了网络中的17%。如图:
定位到该192.168.66.42这台主机,查看他为什么发出这么多连接,在做什么。选择会话选项里面的TCP会话项,大吃一惊,发现几乎所有的网络会话都是一样的,都是针对192.168.51.7 这个IP的 445和139 进行连接,频率很快,但数据不大。如图:
于是可以肯定这是一种蠕虫病毒的特征。究竟是什么蠕虫病毒呢?会有什么危害呢?
我定位到TCP 会话的数据流部分,仔细对比不同会话之间的不同之处。发现了一些问题
如上图,不同会话部分数据流几乎是一样的,唯一不同的是 在administration后面的一些字符部分,这些字符不同的部分就是系统admin的密码。那现在就很清楚了,66.42这个主机实际上是在想破解51.7的admin 密码。根据多年经验和一些朋友交流后发现这就是最近很流行的:
Net-Worm/Win32.kido.XX的
蠕虫病毒。在一些安全网站上查到该蠕虫是一种利用共享端口445,139漏洞,试图获得admin 的密码,达到控制主机的目的。
此种蠕虫使用的破解字典如下:
monitor
unknown
anything
letitbe
letmein
domain
access
money
campus
default
foobar
foofoo
temptemp
temp
testtest
test
rootroot
root
adminadmin
mypassword
mypass
(字典较大,只截取一部分,具体可查看此连接)
http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782790
根据以上分析,又先后找出
192.168.51.130
,192.168.54.21,192.168.51.37,192.168.157.75,192.168.155.78,192.168.155.12这几台主机也感染了蠕虫病毒。
这些被蠕虫病毒入侵的主机,被黑客取得admin权限后,完全成为肉鸡。而且黑客会以这样的主机做为跳板对其他网内机器进行暴力破解。如果被连接的主机密码简单,正好在破解字典内,那么成为肉鸡就不远了。被取得admin密码后该主机的一切通信情况都可以在黑客的控制下了,因此QQ密码丢失是很正常的了。而且大量的主机感染蠕虫后发送大量的TCP扫描性质的连接对网络中的代理服务器会产生很大的压力(具体可以从代理服务器工作机制进行分析),因此会出现大量的丢包现象。于是打开网页时会非常的慢了。
总结:这个案例再次提示我们要经常的更新系统漏洞,不要将密码设置的过于简单。
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
评分
3
查看全部评分
saibei
管理员
徐徐渐进
回复
使用道具
举报
raydragon2008
raydragon2008
当前离线
积分
23
发表于 2010-2-1 10:47:27
|
显示全部楼层
很详细,支持一下
好好学习
回复
使用道具
举报
徐徐渐进
徐徐渐进
当前离线
积分
182
发表于 2010-2-1 11:12:09
|
显示全部楼层
很详细,能提供数据包文件就最好了!
回复
使用道具
举报
saibei
saibei
当前离线
积分
58
发表于 2010-2-1 11:13:59
|
显示全部楼层
好帖子 大家都喜欢啊
回复
使用道具
举报
long_323
long_323
当前离线
积分
101
发表于 2010-2-1 11:19:37
|
显示全部楼层
挺精彩,不错!
回复
使用道具
举报
root_pc
root_pc
当前离线
积分
0
发表于 2010-2-2 09:46:08
|
显示全部楼层
学习了,正在研究呢,值得收藏……
回复
使用道具
举报
Yeafox
Yeafox
当前离线
积分
0
发表于 2010-2-15 09:59:26
|
显示全部楼层
楼主写的不错,让我对网络分析有了一个新的认识,谢谢
回复
使用道具
举报
nirvana
nirvana
当前离线
积分
0
发表于 2010-2-22 16:52:53
|
显示全部楼层
顶一个,科来网络分析系统查蠕虫木马绝对有效!!!!!!
回复
使用道具
举报
huamao2006
huamao2006
当前离线
积分
8
发表于 2010-2-23 17:17:34
|
显示全部楼层
给楼主顶一个,很好的案例分析啊!
回复
使用道具
举报
skyfox888
skyfox888
当前离线
积分
1
发表于 2010-2-25 10:33:36
|
显示全部楼层
FW没起到作用吗?客户机上也没装杀毒软件?做系统的时候应该把补丁打上,看来是管理员工作不认真。
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
CSNA会员注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
快速回复
返回顶部
返回列表
发表于 2010-2-1 10:35:22
发表于 2010-2-1 10:47:27
发表于 2010-2-1 11:19:37