2020年全国两会即将召开，相关的网络安全重保工作也正在紧锣密鼓、步步深入的部署、落实过程中。为保障重保期间安全万无一失，针对可疑主机，快速整合各种纷乱的线索，并进行关联分析、线索扩展、分类组合，以完整的证据链集还原整个攻击事件，快速准确排查与消除主机风险，成为一线网络安全人员工作的关键。
顺应大家的关注重点，本期我们分享一个去年新中国成立70周年网络安全保障期间的实战案例，从主机安全角度讲述，如何快速排查可疑主机、定位问题、应急处置，切实做好重保期间的网络安全保障工作。
案例背景：新中国成立70周年网络安全重要保障在我国重大活动和敏感时期，攻击者活动更为频繁与猖獗，重点单位遭受网络攻击的风险骤增。为保障新中国成立70周年重要时期网络与信息系统的安全稳定运行，中睿天下受石油某单位邀请参与网络安全现场保障工作，全面协助进行网络攻击发现预警、威胁应急响应及终端检查取证等工作。为提高重大活动保障期间整体的网络安全防护水平，该单位在部署睿眼·web、睿眼·网络的同时，利用睿眼·主机取证溯源系统，对发现的可疑终端进行深度取证溯源分析，通过完整的证据链集快速排查威胁事件并准确定位问题，以便立即采取措施进行处置，降低攻击事件带来的损失。
实战案例：发现十余起zombieboy挖矿木马事件重保期间，睿眼·网络版监测发现该单位总部某网管服务器、二级单位某研究院终端、下辖单位某终端等多台主机有扫描外网ip445端口的异常行为。以其中某一台可疑主机为例，我们来还原整个排查过程。起初，网安人员使用已部署的某知名杀毒软件查杀，并未发现异常。通过睿眼·主机取证溯源系统采集分析的相关数据后，网安人员最终确认这些主机均感染zombieboy挖矿木马。
睿眼·主机发现多项威胁
文件检测告警睿眼·主机对文件系统元数据进行深入分析时，发现可疑主机的c：windowsappdiagnostics目录下均为病毒文件，文件创建时间即为病毒植入时间。我们发现，早在2017年4月该主机便感染了病毒，2年来一直未曾被发现。通过联动威胁情报匹配病毒文件的md5值，网安人员初步确认可疑主机感染zombieboy挖矿木马。
病毒文件md5值
网络检测告警通过详细采集并分析运行进程的各项数据，检查运行程序对外连接的网络情况，分析异常的网络连接情况，进一步确认攻击行为。
发现恶意网络程序
发现大量的网络外连
主机缺陷检测告警在检查主机是否存在弱口令、空口令、重要补丁安装情况等问题时，睿眼·主机发现该可疑主机未安装ms17－010等漏洞补丁。结合zombieboy挖矿木马的传播方式，进一步验证该病毒通过这些漏洞进行感染。该可疑主机感染原因为，开启445端口，同时没打补丁。
发现未打的重要补丁
处理方法1、 断网2、 安装ms17010等补丁／ 重装较高版本的操作系统3、 如无相关业务需要，关闭445端口
结论zombieboy挖矿木马是一款集传播、远控、挖矿功能为一体的混合型木马，会释放端口扫描器及“永恒之蓝”等工具，并利用“永恒之蓝”工具感染内网中尚未修复ms17－010漏洞的主机，进而展开远程桌面、键盘记录、后门、挖矿等木马行为。挖矿木马挖矿时会大量占用设备资源和硬件，威胁用户信息系统的正常运行。但未进行挖矿操作时，挖矿木马的隐蔽性非常好，难以被发现，同时会持续入侵更多的计算机建立庞大的傀儡计算机网络，是巨大的网络安全隐患。睿眼·主机从攻击者视角出发，针对黑客活动进行深度检查，检测范围包括文件系统、启动项、内存进程、系统日志、注册表、主机缺陷、用户痕迹、固件、网络等，全面覆盖可能的黑客攻击行为。针对每一种检测范围，通过上下文联动分析、威胁情报、事件溯源、快照比对等技术，更精准地发现识别主机中存在的木马、后门、黑客入侵痕迹等，并溯源分析还原黑客事件。

---