蠕虫病毒分析方法 |
您所在的位置:网站首页 › 网络蠕虫的特征是什么 › 蠕虫病毒分析方法 |
蠕虫病毒分析方法
|
蠕虫分析方法
1. 蠕虫病毒是什么2.蠕虫病毒的行为特点2.1 蠕虫传播2.2 蠕虫的网络行为特征
3.分析案例
1. 蠕虫病毒是什么
蠕虫是通过网络主动复制自己传播的程序 蠕虫传播途径 邮件蠕虫–Loveletter,在OUTlook或foxmail中找到联系人,将恶意程序发给联系人,让所有的联系人都收到这样的邮件;即时通漏洞–MSN/Worm.MM,通过QQ、微信传播的蠕虫病毒,通过即时消息发送;操作系统或应用网络漏洞–CodeRed,Nimda,往往很难发现 2.蠕虫病毒的行为特点 2.1 蠕虫传播
渗透传播阶段 同一目标多次会话,不断尝试目标主机漏洞是否可利用。或者通过暴力破解等方式建立多个会话去尝试。会话内容编码可疑 2.2 蠕虫的网络行为特征网络层 同大量的主机会话大多是发包,每个会话流量很少会话层 会话连接很多大多是发出的TCP SYN包,大部分没有响应或被拒绝总体流量不一定很大,但发包远大于收包数量 3.分析案例8月1日,8月4日TCP会话出现峰值,且同步和同步确认数量相差较大,出现异常,经与用户沟通,业务上业也无变化,需要进一步分析,通过网络流量发现感染主机  进一步提取指定主机的数据包,解码分析发现该IP有10000个TCP会话,且在1秒钟内向至少20个IP的445端口发送了相同数量的数据包,并且绝大部分目标没有响应。  可以通过会话包数超过两个的来判断哪写是扫描成功的,通过使用的协议初步判断中了微软的CIFS蠕虫病毒,建议对该IP进行查杀。继续排查其他主机,发现192.168.1.37对内网的139、445端口进行扫描通信,而且通信方式和发包数量完全相同。  选取其中两个会话进行分析,第一个会话可以看到前三个包是三次握手,之后交互了6个包是传输的数据,后面紧接着关闭了会话。第二个会话也是同样的情况,这种情况就比较可疑了。  通过还原数据流,发现全部是乱码,但是可以看到使用administrator账号进行登录,密码部分有变化,所以乱码的地方不一致。通过这些信息判断这台主机可能感染了基于微软文件共享的蠕虫  CIFS蠕虫病毒在扫描、爆破期间会发送大量的SYN包,这种包长较小,约为70bytes左右,我们可以通过这些特征全流量分析设备的告警功能设置告警,在单位时间内每秒包长小于128bytes的,判定为CIFS蠕虫。 
通过回溯分析技术发现网络中存在的异常访问,找出引起异常的根本原因。分析到数据包级别的问题。 通过数据包解读,了解最细微的网络动作,将网络由不可见的“黑盒”变的透明。 还能够依据分析结果,找出问题特征,通过警报系统预警同类问题发生。 |
扫描阶段
【本文地址】
今日新闻 |
推荐新闻 |