2015年2月14日 星期六

[惡意程式追查]主機異常連線與網路中繼站判斷(第一篇)

前言
小小公司網管人員定期分析防火牆日誌檔案,從近期防火牆紀錄中,發現內部網路的電腦主機,有異常連線的行為紀錄,且被害電腦數量不少,因此懷疑公司內部的電腦遭到惡意程式入侵後感染,被植入後門程式,並著手進行全面的清查行為。

在進行清查行為前,首先需判斷「異常的主機連線」和「異常連線的IP使用情況」2大特點,以雙重確認目標電腦是否真為異常情況。

一、主機異常連線

異常防火牆日誌檔分析初步要點:
1.於異常的時間點有封包傳送的情況
例:下班時間後或無人操作時,電腦有異常傳送封包的情形

2.有異常的規律模式
例:經深度分析內部網站主機IP後,發現有別一般人工送出封包的情況,有著特殊的規則(規律),時間間隔一致、對外PORT號一致等情形

3.不同的電腦有共同的對外IP連線
例:極有可能內部電腦經惡意程式感染後,透過USB、人工檔案傳送的方式,交叉感染,其惡意程式統一回報至相同的中繼站主機

4.排除正常連線的行為
例:將一般常見的連線IP、對外PORT號對外排除後,了解該內部電腦的使用情況,以分析是否遭置入惡意程式的可能性

5.異常對外IP活動性確認
例:利用PING的方式,來簡單確認該主機是否還存活的情況

舉例來說,我們從下圖來簡單說明(經整理)
SRC欄位:表示公司內部區網主機
DST欄位:表示對外連線IP
SRC_PORT欄位:公司內部區網主機對外連線的PORT號
DST_PORT欄位:中繼站主機開啟的PORT號

經由上述說明後,我們可以看出,在防火牆的日誌檔內,公司內部的電腦主機,對特定的IP和PORT號都有主動回傳的情況,極有可能該電腦都中了同樣類型的惡意程式

二、網路中繼站判斷

針對異常對外IP,我們可以善用下列工具進行分析:
1.查詢來查看該主機是否在網路上有被討論(google search)
2.利用whois的網站來查詢該IP的國別(whois、whois365)
3.若屬大陸IP,則再利用IP.CN網站(http://ip.cn/)進行查詢,以了解IP所屬地區

4.使用virustotal網站(https://www.virustotal.com/),輸入異常IP後,來判斷該IP是否真為惡意的連線IP
virustotal網站是經長年累月由網友主動回報惡意程式樣本和中繼站主機,且也蒐集了大量的惡意程式樣本和中繼站,精準度頗高,我們將異常IP進行查詢後,可得知該IP是否有被登錄在黑名單中了,若有IP資料的話,代表經查到的IP,我們可以確定列入異常IP
經由virustotal確認後,看出該IP被virustotal列出,近期曾被上傳檢驗的惡意程式,其中繼站的主機位址,與本次我們判斷出的異常IP,是具有一致性的行為。所以可以明確的肯定,該對外IP確有問題

小結:
經由上述的方式,我們可以判斷內部網路中,哪些電腦主機疑似遭到惡意程式植入,並了解該IP是否為異常連線IP和所屬國家。

後續介紹
1.找到疑似感染的目標電腦後,如何查出該電腦內異常對外連線的程式位置(http://linjsian.blogspot.tw/2015/02/unusual-computer-analysis.html)