蠕虫病毒分析方法

蠕虫分析方法

  • 1. 蠕虫病毒是什么
  • 2.蠕虫病毒的行为特点
    • 2.1 蠕虫传播
    • 2.2 蠕虫的网络行为特征
  • 3.分析案例

1. 蠕虫病毒是什么

蠕虫是通过网络主动复制自己传播的程序

蠕虫传播途径

  • 邮件蠕虫–Loveletter,在OUTlook或foxmail中找到联系人,将恶意程序发给联系人,让所有的联系人都收到这样的邮件;
  • 即时通漏洞–MSN/Worm.MM,通过QQ、微信传播的蠕虫病毒,通过即时消息发送;
  • 操作系统或应用网络漏洞–CodeRed,Nimda,往往很难发现

2.蠕虫病毒的行为特点

2.1 蠕虫传播

蠕虫病毒分析方法_第1张图片
扫描阶段

  • 传输层TCP握手包数量异常
  • 网络层IP会话数异常
  • 持续性扫描

渗透传播阶段

  • 同一目标多次会话,不断尝试目标主机漏洞是否可利用。或者通过暴力破解等方式建立多个会话去尝试。
  • 会话内容编码可疑

2.2 蠕虫的网络行为特征

网络层

  • 同大量的主机会话
  • 大多是发包,每个会话流量很少

会话层

  • 会话连接很多
  • 大多是发出的TCP SYN包,大部分没有响应或被拒绝

总体流量不一定很大,但发包远大于收包数量

3.分析案例

8月1日,8月4日TCP会话出现峰值,且同步和同步确认数量相差较大,出现异常,经与用户沟通,业务上业也无变化,需要进一步分析,通过网络流量发现感染主机
蠕虫病毒分析方法_第2张图片

  1. 通过沟通,用户在使用网络过程中没有感知到变化或其他异常。
  2. 对同步未确认包发送较多这段周期时间的数据进行统计分析,定位到发送TCP同步包数量较多的主机。
    蠕虫病毒分析方法_第3张图片
  3. 进一步提取指定主机的数据包,解码分析发现该IP有10000个TCP会话,且在1秒钟内向至少20个IP的445端口发送了相同数量的数据包,并且绝大部分目标没有响应。
    蠕虫病毒分析方法_第4张图片
  4. 可以通过会话包数超过两个的来判断哪写是扫描成功的,通过使用的协议初步判断中了微软的CIFS蠕虫病毒,建议对该IP进行查杀。
  5. 继续排查其他主机,发现192.168.1.37对内网的139、445端口进行扫描通信,而且通信方式和发包数量完全相同。
    蠕虫病毒分析方法_第5张图片
  6. 选取其中两个会话进行分析,第一个会话可以看到前三个包是三次握手,之后交互了6个包是传输的数据,后面紧接着关闭了会话。第二个会话也是同样的情况,这种情况就比较可疑了。
    蠕虫病毒分析方法_第6张图片
  7. 通过还原数据流,发现全部是乱码,但是可以看到使用administrator账号进行登录,密码部分有变化,所以乱码的地方不一致。通过这些信息判断这台主机可能感染了基于微软文件共享的蠕虫
    蠕虫病毒分析方法_第7张图片
  8. CIFS蠕虫病毒在扫描、爆破期间会发送大量的SYN包,这种包长较小,约为70bytes左右,我们可以通过这些特征全流量分析设备的告警功能设置告警,在单位时间内每秒包长小于128bytes的,判定为CIFS蠕虫。
    蠕虫病毒分析方法_第8张图片

通过回溯分析技术发现网络中存在的异常访问,找出引起异常的根本原因。分析到数据包级别的问题。

通过数据包解读,了解最细微的网络动作,将网络由不可见的“黑盒”变的透明。

还能够依据分析结果,找出问题特征,通过警报系统预警同类问题发生。

你可能感兴趣的:(流量分析,网络,数据分析)