利用TCP协议原理,对网络中存在主机IP和端口进行扫描,根据是否影响,查找互联网中存在的存活主机或开放的端口;而根据开放端口可以判断出该主机对外提供的协议;扫描事件相当于攻击事件前期的踩点活动,为攻击者下一步攻击做准备。

2、危害说明

主机感染类病毒,病毒欲想感染更多主机,先会对内网其他主机进行扫描,获取内网更多主机相关信息,为下一步攻击做准备;
主机感染病毒后,可能导致该主机信息被攻击者窃取,如机密文件、关键资产的用户名和密码等。
对互联网其他主机发起扫描,违反网络安全法,遭至网信办、网安等监管单位的通报处罚。

3、处置建议

1、确认是否为误判

注:以下两个任何已确认OK,可以不用确认另外步骤;
A、网络流量抓包确认
如某目的主机正在进行扫描,可以通过在探针对接镜像口进行抓包进行分析;对应扫描安全事件抓包端口如下:


爆破事件
端口
常对应安全事件
SMB扫描
139、445
飞客蠕虫、WannaCry、蠕虫
RDP扫描
3389
GobleImposter勒索、蠕虫
SSH扫描
22
跳板攻击、数据盗取
FTP扫描
20、21
数据盗取
Telnet扫描
23
数据盗取


2、病毒查杀

(1)确认主机异常进程
定位到主机的IP后,需要登录到系统上确认是哪一个进程进行了发包数据,从抓到的数据包里面可以看到源数据包的主机地址与端口。在主机上根据端口地址,找到是哪一个进程进行了发包的操作。
建议使用 ProcessHacker可查看所有进程信息,包括进程加载的dll、进程打开的文件、进程读写的注册表等等,也可以将特定进程的内存空间Dump到本地,此外还可以查看网络连接。工具截图如下:


根据源端口,使用工具Process Hacker可以获取到进程名与PID。
同时也可以使用netstat命名查看当前关于445端口与139端口的进程或者其他端口




(2)进程检查
需要重点观察进程、与进程本身的路径、签名MD5等属性
找到源文件的exe程序体,关注其路径与签名等信息。




同时可以将此文件或者md5数值上传到 https://www.virustotal.com/进行查询,进一步确认其危险性。

3、清理程序




由于爆破只是主机对外表现异常行为,而并不清楚问题主机是哪一种病毒引发的爆破行为,同时有些流行病毒家族,通常对杀软有抑制性,或者本身有感染性,需要专杀工具去查杀和修复正常文件,这里不展开讲专杀工具,以下仅列出有专杀工具的流行病毒列表( 建议依次使用以下杀软进行查杀
EDR通用扫描工具 ( http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
飞客蠕虫专杀工具( http://edr.sangfor.com.cn/tool/Kidokiller.zip
Ramnit专杀工具 ( http://sec.sangfor.com.cn/download/index?file=FxRamnit.exe
Sality专杀工具 ( http://sec.sangfor.com.cn/download/index?file=SalityKiller.exe
Virut专杀工具 ( http://sec.sangfor.com.cn/download/index?file=VirutKiller.exe
Zeus专杀工具 ( http://sec.sangfor.com.cn/download/index?file=ZbotKiller.exe
Parite专杀工具 ( http://sec.sangfor.com.cn/download/index?file=avast.bat
Spybot专杀工具 ( http://sec.sangfor.com.cn/download/index?file=FixSpybot.exe
EmsisoftEmergencyKit:第三方公司Emsisoft提供的本地查杀工具
http://sec.sangfor.com.cn/download/index?file=EmsisoftEmergencyKit.exe

处置说明:
深信服安全感知平台只是通过流量发现该主机存在爆破行为,但无法准确分析出是该主机的业务异常触发的爆破行为,还是病毒行为。因此以上只是我们提供的常用病毒引发的暴力破解的查杀方法;而当遇到平台检测出爆破行为,但使用专杀工具无法查杀到病毒的情况时,建议做如下步骤排查:
1、确认最近是否该主机业务是否存在异常,如卡顿、数据传输异常等;
2、是否最近有调整过业务,导致业务异常;
3、如以上问题都不存在,请联系深信服安全服务工程师;