APT之特種木馬檢測(cè)

2014對(duì)話·交流·合作2014對(duì)話·交流·合作APT之特種木馬檢測(cè)李薛東巽科技（南京）有限公司2014目錄APT與特種木馬發(fā)現(xiàn)特種木馬工程實(shí)踐了解特種木馬12342014APT（Advanced

PersistentThreat）高級(jí)持續(xù)性威脅，是針對(duì)特定組織所作的復(fù)雜且多方位的高級(jí)滲透攻擊。2011：竊取RSA令牌種子2010：震網(wǎng)攻擊核電站2011：夜龍攻擊2013：媒體和銀行癱瘓2013:棱鏡計(jì)劃(PRISM)2009：極光攻擊2011：三一

vs中聯(lián)針對(duì)性很強(qiáng)攻擊范圍廣攻擊手段豐富隱蔽能力極強(qiáng)防范難度高4APT攻擊事件頻繁2014APT三要素信息采集建立一個(gè)立足點(diǎn)完成任務(wù)制定計(jì)劃升級(jí)特權(quán)內(nèi)部偵查橫向移動(dòng)保持存在APT完整生命鏈3滲透藝術(shù)2特種木馬關(guān)鍵的攻擊技術(shù)10Day/nDay漏洞斷鏈?zhǔn)椒雷o(hù)理念針對(duì)APT全生命周期鏈路上各關(guān)鍵環(huán)節(jié)進(jìn)行截?cái)嗍椒烙髁可钊敕治?Day/nDay漏洞、特種木馬、滲透行為等技術(shù)手段及戰(zhàn)法52014典型APT過(guò)程經(jīng)典的APT攻擊循環(huán)6根據(jù)FireEye發(fā)布的2013年度APT攻擊報(bào)告顯示，通常情況下Web相關(guān)攻擊發(fā)生次數(shù)是郵件攻擊的五倍。2014事件剖析引誘企業(yè)內(nèi)部人員訪問(wèn)掛馬站點(diǎn)極光攻擊發(fā)送捆綁木馬的文檔附件的郵件利用SSL加密通道訪問(wèn)C&C服務(wù)器，獲取敏感信息全球20多家高科技企業(yè)被波及，大量核心信息資產(chǎn)泄漏木馬控守竊取木馬植入控制補(bǔ)丁服務(wù)器，向終端推送木馬程序。定時(shí)激活數(shù)據(jù)毀滅功能，造成硬盤數(shù)據(jù)永久性毀壞。從終端嘗試連接到服務(wù)器，成功后執(zhí)行破壞程序并執(zhí)行。木馬植入木馬控守破壞韓國(guó)KBS事件72014根本停不下來(lái)8利用漏洞植入特種木馬依靠特種木馬進(jìn)行監(jiān)控家族分布Top10

1.UnitedStates(125)

2.Canada(52)3.Germany(45)4.UnitedKingdom(43)5.Japan(37)6.Taiwan(35)7.South

Korea(34)

8.Israel(31)9.Switzerland(22)10.Turkey(21)依靠特種木馬記錄密碼使用特種木馬進(jìn)行滲透2014目錄APT與特種木馬發(fā)現(xiàn)特種木馬工程實(shí)踐了解特種木馬12342014特種木馬的影響范圍

2013年，國(guó)家應(yīng)急中心監(jiān)測(cè)發(fā)現(xiàn)我國(guó)境內(nèi)1.5萬(wàn)臺(tái)主機(jī)被特種木馬控制，對(duì)我國(guó)關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全造成嚴(yán)重威脅。

國(guó)外知名反APT安全公司（FireEye）調(diào)查的結(jié)論：超過(guò)95%的企業(yè)網(wǎng)絡(luò)中有主機(jī)遭受過(guò)特種木馬入侵，且特種木馬樣本檢測(cè)率低于10%。

賽門鐵克高級(jí)副總裁:“殺毒軟件已死。殺毒軟件僅能攔截45%的網(wǎng)絡(luò)攻擊”。防火墻、

IDS、

IPS、防毒等傳統(tǒng)防御產(chǎn)品無(wú)法遏制特種木馬攻擊。102014特種木馬的定義從最近的APT事件中采集到的樣本可以看出，特種木馬多為各種漏洞和常見開源木馬的結(jié)合。引用漏洞分類概念（從0Day到1Day再到nDay），可將特種木馬定義為0RAT、1RAT、nRAT。11特種木馬，一般理解的是為了某次攻擊行為特別定制的，針對(duì)某個(gè)系統(tǒng)、行業(yè)的，免殺能力

、穿透性和隱藏性超強(qiáng)的遠(yuǎn)控木馬。2014特種木馬特點(diǎn)精心準(zhǔn)備的一顆毒藥在投放前就針對(duì)性的使用各種殺毒軟件進(jìn)行了測(cè)試，能夠和殺毒軟件“和平共處”能夠在使用了包過(guò)濾、應(yīng)用網(wǎng)關(guān)、狀態(tài)檢測(cè)、復(fù)合型、ISA代理等防火墻的網(wǎng)絡(luò)環(huán)境保證數(shù)據(jù)回傳能夠躲避一般管理員常用的檢測(cè)工具，使之能夠在系統(tǒng)中隱身免殺能力穿透能力隱蔽能力122014按通信方式分類13端口復(fù)用型在目標(biāo)本地綁定

對(duì)外開放

端口，攻擊者可直接連接控制目標(biāo)主機(jī)進(jìn)行遠(yuǎn)程控制劫

持

已

經(jīng)

使

用

的通

信

端

口

，

對(duì)正

常

連

接

進(jìn)

行

重

復(fù)利用由隱藏在目標(biāo)主機(jī)上的木馬服務(wù)端主動(dòng)連接遠(yuǎn)程木馬控制端。隱蔽性高，防火墻、IDS、IPS等難以防范無(wú)通信型使用非網(wǎng)絡(luò)通信方式進(jìn)行通信，例如短波、高分貝音頻信號(hào)、移動(dòng)存儲(chǔ)設(shè)備反彈代理型在反彈端口的基礎(chǔ)上增加代理的使用，能

夠

穿

透

ISA

、Squid等代理網(wǎng)關(guān)直連型反彈端口型2014按功能分類14駐留類深入隱藏以期更長(zhǎng)時(shí)間擁有目標(biāo)控制權(quán)下載類一般植入時(shí)使用自動(dòng)下載木馬，體積小便于下載并執(zhí)行控守類隱秘控制遠(yuǎn)程目標(biāo)資源的程序，搭建C&C網(wǎng)絡(luò)實(shí)現(xiàn)遠(yuǎn)程管理竊密類以定期獲取目標(biāo)各種常用帳號(hào)密碼為目的，甚至定制針對(duì)專用系統(tǒng)的登入賬戶滲透類提供各項(xiàng)輔助滲透攻擊的常用功能，便于快速內(nèi)網(wǎng)偵查和橫向擴(kuò)張破壞類按照一定機(jī)制觸發(fā)執(zhí)行破壞數(shù)據(jù)、破壞軟件、破壞裝置等毀壞功能場(chǎng)景用途按需生產(chǎn)、謹(jǐn)慎使用發(fā)散思考、不斷創(chuàng)新2014按寄宿方式分類與蠕蟲和病毒的技術(shù)相結(jié)合151 23硬件平臺(tái)操作系統(tǒng)應(yīng)用程序2應(yīng)用程序隱藏在瀏覽器、Java虛擬機(jī)、Ghost文件等應(yīng)用程序的應(yīng)用環(huán)境中，利用應(yīng)用復(fù)雜性隱藏自身3硬件平臺(tái)隱藏在硬盤、主板、網(wǎng)卡、路由器、芯片等位置，這些地方的惡意代碼檢測(cè)手段極其匱乏1操作系統(tǒng)運(yùn)行在Windows、Linux、MacOS、Android、IOS等操作系統(tǒng)下，可以利用不同操作系統(tǒng)特性隱藏自身2014常見特種木馬16Dark

Comet，作者Lesueur，

2012年7月因發(fā)現(xiàn)工具被使用于敘利亞政府打擊反政府分子的攻擊中，故而宣布停止更新Gh0st

RAT，作者Cooldiyer，

2008年5月開源3.6版本后再無(wú)更新，但至今仍有無(wú)數(shù)修改版本在流傳PoisonIvy，2008年2月更新屏幕插件后再無(wú)跟新，主版本停滯在2.3.2，作者聲稱需要更多時(shí)間和動(dòng)力來(lái)開發(fā)新版Zeus/zbot，2011年3月版本源代碼泄露后，衍生出了諸多的變種和模仿者Gh0st17ResetSSDT.通過(guò)重新從系統(tǒng)文件中讀取ntoskrnl內(nèi)核信息，在驅(qū)動(dòng)層重置SSDT表以屏蔽殺毒軟件InstallService.搜索未被占用的服務(wù)名，并注冊(cè)自身為系統(tǒng)服務(wù)，寄宿于svchost.exe服務(wù)進(jìn)程Start

Service

啟動(dòng)工作線程初始化自身配置信息、模塊插件等，獲取并接管目標(biāo)系統(tǒng)的各種計(jì)算機(jī)資源Connect

Gh0st.使用TCP協(xié)議周期性期連接連接后臺(tái)控制端程序，通過(guò)超時(shí)?；顧C(jī)制保持連接，使用Zlib解壓/壓縮并封裝傳遞的真實(shí)數(shù)據(jù)Command&Control完成命令控制通道的搭建，遠(yuǎn)程控制端每次控制一種遠(yuǎn)程資源均建立一個(gè)新的Socket連接20141 2繳槍 占領(lǐng)3啟動(dòng)4連接5控制Reset InstallStartConnectCommandSSDT ServiceServiceGh0stControl2014PoisonIvy18InjectProcess2冒充ConnectPoisonIvy3連接RegeditActiveX1侵入WorkConnect

PoisonIvyforCommand&Control使用自定義格式的TCP協(xié)議一直保持長(zhǎng)時(shí)間連接，有周期性的心跳信號(hào)，使用LZNT1壓縮算法對(duì)交互數(shù)據(jù)進(jìn)行壓縮，各種連接操作均使用1個(gè)Socket連接進(jìn)行通信InstallAddRegedit

orRegsvr

ActiveX

,

InjectProcess選擇使用修改注冊(cè)表或注冊(cè)ActiveX控件的方式完成自啟動(dòng)，并通過(guò)注入遠(yuǎn)程線程完成功能代碼的隱蔽執(zhí)行，同時(shí)利用進(jìn)程的白名單特性繞過(guò)防火墻的攔截CommandControl4控制2014近期熱點(diǎn)特種木馬19Taidor和LStudio廣泛使用在CVE-2014-4114漏洞利用BlackEnergy融入Rootkit技術(shù)后進(jìn)行APT攻擊Citadel被IBM的安全研究人員發(fā)現(xiàn)攻擊中東石化公司SpyEye俄羅斯黑客在美國(guó)服罪Machete攻擊情報(bào)部門、軍隊(duì)、使館等2014美國(guó)國(guó)安局（NSA）工具庫(kù)中的特種木馬202013年12月30日，德國(guó)《明鏡周刊》發(fā)表題為《Shoppingfor

Spy

Gear:

Catalog

Advertises

NSA

Toolbox》的文章，揭秘NSA

工具庫(kù)已經(jīng)攻破全球首屈一指的網(wǎng)絡(luò)設(shè)備供應(yīng)商、電腦供應(yīng)商的安全防御設(shè)備或電子產(chǎn)品2014BIOS木馬21DEITYBOUNCE，提供一個(gè)軟件應(yīng)用利用主板的BIOS和利用系統(tǒng)管理模塊（System

ManagementMode）的漏洞駐留在Dell的PowerEdge服務(wù)器上。

SWAP，可利用刷新BIOS的方法注入可執(zhí)行代碼到主板BIOS中去，在操作系統(tǒng)啟動(dòng)過(guò)程中激活并插入控制代碼跟隨運(yùn)行。受影響的包括Dell：PowerEdge1850/2850/1950/2950BIOS版本為：A02、A05、A06的1.1.0、1.2.0或1.3.7操作系統(tǒng)支持：Windows、Linux、FreeBSD、Solaris文件系統(tǒng)支持：Fat32、NTFS、EXT2、EXT3、UFS

1.02014硬盤木馬22IRATMONK，隱藏于硬盤Firmware固件中，通過(guò)MBR獲取執(zhí)行權(quán)限。能夠?qū)ε_(tái)式電腦、筆記本電腦進(jìn)行持久性控制。支持品牌：Seagate希捷、Maxtor邁拓、Samsung三星、Western

Digital西部數(shù)碼硬盤是從外向內(nèi)數(shù)的，0號(hào)磁道在最外面硬盤Firmware固件除存放在硬盤EROM或EPROM（可編程只讀存儲(chǔ)器）中之外，還有部分?jǐn)?shù)據(jù)保存在負(fù)磁道上，可用專業(yè)工具升級(jí)更新。負(fù)磁道-

PL永久缺陷表-

TS缺陷磁道表-

HS實(shí)際物理磁頭數(shù)及排列順序-

SM最高級(jí)加密狀態(tài)及密碼-

SU用戶級(jí)加密狀態(tài)及密碼-CI

硬件信息-

FI生產(chǎn)廠家信息-WE寫錯(cuò)誤記錄表-RE讀錯(cuò)誤記錄表-

SI容量設(shè)定-

ZP區(qū)域分配信息2014目錄APT與特種木馬發(fā)現(xiàn)特種木馬工程實(shí)踐了解特種木馬12342014從流量中挖掘特種木馬采用大數(shù)據(jù)分析技術(shù)來(lái)檢測(cè)APT攻擊行為的設(shè)備。該設(shè)備部署在網(wǎng)絡(luò)出口處采集網(wǎng)絡(luò)通信數(shù)據(jù)，分析通信數(shù)據(jù)中的木馬通信痕跡，識(shí)別木馬特征和行為，在網(wǎng)絡(luò)層實(shí)現(xiàn)對(duì)全網(wǎng)范圍內(nèi)木馬識(shí)別與追蹤。獲取網(wǎng)絡(luò)通信數(shù)據(jù)，識(shí)別特種木馬上網(wǎng)區(qū)域Internet路由器交換機(jī)PC1PC2PCn…防火墻2014木馬檢測(cè)簽名匹配威脅分析行為分析將訪問(wèn)黑IP、黑域名、黑URL，和匹配到木馬流量特征的網(wǎng)絡(luò)行為定性為已知木馬，即木馬。具有掛馬、釣魚、掃描等惡意攻擊行為的網(wǎng)頁(yè)、IP、域名定義為威脅源。具有已知木馬行為、威脅源特征以及網(wǎng)絡(luò)攻擊特征的事件發(fā)現(xiàn)過(guò)程定義為行為分析。已知木馬已知

/未知木馬未知木馬2014木馬檢測(cè)CIDU木馬通信特征碼木馬在網(wǎng)絡(luò)通信過(guò)程中，有自定義的通信格式和內(nèi)容，包括心跳包、控制命令、文件傳輸、視頻監(jiān)控等，存在于流量中的木馬通信行為。木馬進(jìn)行網(wǎng)絡(luò)通信，會(huì)將遠(yuǎn)程連接的地址配置成域名形式，若無(wú)固定IP使用，使用動(dòng)態(tài)域名的形式配置遠(yuǎn)程連接地址，木馬通過(guò)解析域名可獲得連接IP地址。黑域名黑URL木馬以讀取配置文件的方式獲取真實(shí)的遠(yuǎn)程連接IP地址，或需要從遠(yuǎn)程服務(wù)器上獲取新的功能模塊文件、配置文件、更新信息，會(huì)以URL的形式請(qǐng)求相關(guān)信息。黑IP木馬進(jìn)行網(wǎng)絡(luò)通信，包括存活告知、命令接收、文件傳輸、視頻傳輸、更新等網(wǎng)絡(luò)行為，遠(yuǎn)程連接的IP地址。已知木馬通信行為特征

已知木馬? 木馬程序分為控制端和被控端兩個(gè)部分，其中被控端用來(lái)植入到用戶的電腦中，控制端會(huì)在公網(wǎng)上提供一個(gè)IP地址、域名或URL讓被控端連接完成木馬上線。? 從木馬程序樣本中提取的IP、域名、URL形成黑名單庫(kù)，同時(shí)提取通信流量?jī)?nèi)容作為木馬流量特征，通過(guò)黑名單和流量特征的檢測(cè)，識(shí)別網(wǎng)絡(luò)中的已知木馬。2014威脅分析已知威脅源特征庫(kù)

已知/未知的木馬植入? 網(wǎng)絡(luò)中主動(dòng)的或被動(dòng)的通信行為，可能導(dǎo)致終端或服務(wù)器被植入木馬、被黑客控制或信息泄露，包括訪問(wèn)掛馬頁(yè)面、釣魚頁(yè)面，黑客遠(yuǎn)程掃描、脆弱點(diǎn)測(cè)試等行為。? 鐵穹系統(tǒng)將具有掛馬、釣魚、掃描等惡意攻擊行為的網(wǎng)頁(yè)、IP、域名定義為威脅源。

威脅IP

HTTP訪問(wèn)

文件傳輸

威脅域名

可疑郵件

主動(dòng)訪問(wèn)威脅IP可能會(huì)致惡意代碼下載到本地執(zhí)行。主動(dòng)訪問(wèn)威脅域名可能會(huì)致惡意代碼下載到本地執(zhí)行。HTML頁(yè)面存在掛馬代碼，或存在Shellcode，用戶點(diǎn)擊訪問(wèn)之后會(huì)使頁(yè)面中的惡意代碼執(zhí)行。具有惡意可執(zhí)行文件、黑客工具、漏洞利用代碼等網(wǎng)絡(luò)流量和文件定性為文件傳輸威脅。利用冒名的方式發(fā)送郵件，或在郵件正文或附件中含有惡意代碼的郵件。

威脅URL

主動(dòng)訪問(wèn)威脅URL可能會(huì)致惡意代碼下載到本地執(zhí)行。2014行為分析未知特征+未知通信行為未知木馬通信行為? 以庫(kù)特征的形式來(lái)識(shí)別木馬通信行為，雖然精確性較高，但僅局限于已知木馬的識(shí)別。? 從已知木馬行為、威脅源特征以及APT攻擊事件總結(jié)出可用行為線索，用來(lái)發(fā)現(xiàn)未知木馬和威脅。? 鐵穹系統(tǒng)將具有已知木馬行為、威脅源特征以及APT特征的事件發(fā)現(xiàn)過(guò)程定義為行為分析。動(dòng)態(tài)域名?

被木馬利用作為連接地址的域名，通過(guò)該域名解析出實(shí)際的IP地址，動(dòng)態(tài)域名一般沒(méi)有固定的IP，但無(wú)論IP地址如何變化，都可以通過(guò)該動(dòng)態(tài)域名解析出正確的連接地址。?

通過(guò)動(dòng)態(tài)域名后綴庫(kù)的匹配，統(tǒng)計(jì)網(wǎng)絡(luò)中活躍的動(dòng)態(tài)域名。協(xié)議異常?

為了躲避安全監(jiān)控，木馬常會(huì)會(huì)采取利用正常的通信協(xié)議或端口來(lái)進(jìn)行偽裝，有部分偽裝的內(nèi)容與標(biāo)準(zhǔn)的協(xié)議不符。?

統(tǒng)計(jì)協(xié)議和常見端口不匹配、HTTP協(xié)議、DNS協(xié)議、郵件類型協(xié)議等通信行為。心跳?

木馬檢測(cè)控制端是否存活的一種方式，通常會(huì)間隔相同或不同時(shí)間段與控制端進(jìn)行通信。?

間隔時(shí)間存在規(guī)律，且數(shù)據(jù)包內(nèi)容的相同的數(shù)據(jù)報(bào)文定性為心跳數(shù)據(jù)。2014行為分析未知特征+未知通信行為未知木馬通信行為? 以庫(kù)特征的形式來(lái)識(shí)別木馬通信行為，雖然精確性較高，但僅局限于已知木馬的識(shí)別。? 從已知木馬行為、威脅源特征以及APT攻擊事件總結(jié)出可用行為線索，用來(lái)發(fā)現(xiàn)未知木馬和威脅。? 鐵穹系統(tǒng)將具有已知木馬行為、威脅源特征以及APT特征的事件發(fā)現(xiàn)過(guò)程定義為行為分析。非常見端口?

木馬一般會(huì)打開不常用的端口進(jìn)行通信，或在獲取系統(tǒng)權(quán)限進(jìn)行遠(yuǎn)程控制時(shí)打開非常見端口進(jìn)行控制。?

統(tǒng)計(jì)所有通信端口，并利用端口白名單機(jī)制篩選出非常見端口。規(guī)律域名統(tǒng)計(jì)?

被木馬利用作為連接地址的域名，通過(guò)該域名解析出實(shí)際的IP地址，訪問(wèn)次數(shù)會(huì)十分頻繁，或僅有幾次。?

統(tǒng)計(jì)所有域名訪問(wèn)次數(shù)統(tǒng)計(jì)。URL訪問(wèn)統(tǒng)計(jì)?

被木馬利用作為連接、配置獲取等作用的URL，訪問(wèn)次數(shù)會(huì)十分頻繁，或僅有幾次。?

內(nèi)網(wǎng)所有IP地址訪問(wèn)URL的訪問(wèn)記錄，并記錄網(wǎng)頁(yè)源碼，提供下載分析。流量異常?

單個(gè)會(huì)話流量比超過(guò)X；?

單個(gè)內(nèi)網(wǎng)IP長(zhǎng)期流量比曲線突變；?

單個(gè)內(nèi)網(wǎng)IP傳輸總流量超過(guò)5GB；?

單個(gè)內(nèi)網(wǎng)IP外聯(lián)次數(shù)超過(guò)X；?

單個(gè)內(nèi)網(wǎng)IP外聯(lián)時(shí)長(zhǎng)超過(guò)X。2014事件關(guān)聯(lián)諸如異常流量、心跳、連接動(dòng)態(tài)域名等這些事件本身并不足以認(rèn)定木馬通信行為，一旦將這些事件通過(guò)其內(nèi)在的聯(lián)系進(jìn)行關(guān)聯(lián)，就能形成一整條證據(jù)鏈路，能夠判定木馬攻擊行為。鐵穹系統(tǒng)將各種木馬行為、威脅源特征以及典型行為線索等進(jìn)行事件關(guān)聯(lián)分析，識(shí)別未知木馬和未知威脅。關(guān)聯(lián)規(guī)則統(tǒng)計(jì)分析模式發(fā)現(xiàn)關(guān)聯(lián)規(guī)則長(zhǎng)期跟蹤木馬攻擊行為，把攻擊流程凝練為關(guān)聯(lián)規(guī)則統(tǒng)計(jì)分析根據(jù)攻擊方式、頻率、周期、尺度來(lái)分析攻擊者的身份、角色等模式發(fā)現(xiàn)利用木馬攻擊獨(dú)有的行為模式，從事件中尋找、推測(cè)和預(yù)測(cè)事件關(guān)聯(lián)性2014目錄APT與特種木馬發(fā)現(xiàn)特種木馬工程實(shí)踐了解特種木馬12342014政策法規(guī)32公安部：《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》第三級(jí)網(wǎng)絡(luò)安全-入侵防范（G3）a)

應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；b)

當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。網(wǎng)絡(luò)安全-惡意代碼防范（G3）a)

應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；b)

應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新。工信部：《移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)與處置機(jī)制》、關(guān)于印發(fā)《木馬和僵尸網(wǎng)絡(luò)監(jiān)測(cè)與處置機(jī)制》通知關(guān)于印發(fā)《木馬和事件通1、威脅較大的木馬和僵尸網(wǎng)絡(luò)IP地址、端口、發(fā)現(xiàn)時(shí)間、所屬基礎(chǔ)電信運(yùn)營(yíng)企業(yè)。僵尸網(wǎng)絡(luò)監(jiān)測(cè)與處報(bào)內(nèi)容2、木馬和僵尸網(wǎng)絡(luò)使用的惡意域名。置機(jī)制》的通知3、木馬和僵尸網(wǎng)絡(luò)的規(guī)模和潛在危害?！兑苿?dòng)互聯(lián)網(wǎng)惡意第六條移動(dòng)通信運(yùn)營(yíng)企業(yè)、CNCERT應(yīng)不斷提高移動(dòng)互聯(lián)網(wǎng)惡意程序的樣本捕獲和監(jiān)測(cè)處置能力，程序監(jiān)測(cè)與處置機(jī)建設(shè)完善相關(guān)技術(shù)平臺(tái)。移動(dòng)通信運(yùn)營(yíng)企業(yè)應(yīng)具備覆蓋本企業(yè)網(wǎng)內(nèi)的監(jiān)測(cè)處置能力，制》CNCERT應(yīng)具備跨不同企業(yè)移動(dòng)互聯(lián)網(wǎng)的監(jiān)測(cè)能力。中國(guó)人民銀行：《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》(JRT

0068-2012)服務(wù)器端安全：基本要求網(wǎng)絡(luò)安全-入侵防范部署入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)（IDS/IPS），對(duì)網(wǎng)絡(luò)異常流量進(jìn)行監(jiān)控，監(jiān)控并記錄以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。網(wǎng)絡(luò)安全-惡意代碼防范在網(wǎng)絡(luò)邊界部署入侵檢測(cè)/防護(hù)系統(tǒng)、防病毒網(wǎng)關(guān)等防病毒設(shè)備，對(duì)惡意代碼進(jìn)行檢測(cè)和消除。應(yīng)定期對(duì)惡意代碼防護(hù)設(shè)備進(jìn)行代碼庫(kù)升級(jí)和系統(tǒng)更新。2014檢測(cè)的難點(diǎn)33?即便不考慮檢測(cè)隱藏在各種硬件設(shè)備中的特種木馬，也同樣是困難重重因終端設(shè)備多且網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，故人工上機(jī)檢測(cè)和協(xié)調(diào)部門統(tǒng)一部署終端檢測(cè)軟件都不輕松網(wǎng)絡(luò)復(fù)雜需分析的日志量巨大，需要專業(yè)人員使用專業(yè)工具進(jìn)行針對(duì)性分析才能有成效任務(wù)量大殺毒軟件不可靠，特種木馬都是已經(jīng)經(jīng)過(guò)免殺處理過(guò)的，已經(jīng)具備繞過(guò)殺軟的能力缺少工具2014一種點(diǎn)面結(jié)合的解決方法34可疑終端上機(jī)檢測(cè)使用各種ARK工具針對(duì)性挖掘可疑通信的發(fā)起源，逐項(xiàng)檢查進(jìn)程、注冊(cè)表、服務(wù)、文件、網(wǎng)絡(luò)、系統(tǒng)、日志等，并嘗試分析感染源.網(wǎng)關(guān)出口處的網(wǎng)絡(luò)檢測(cè)通過(guò)在網(wǎng)關(guān)處分析網(wǎng)絡(luò)流量，以大數(shù)據(jù)的方法統(tǒng)計(jì)和識(shí)別特種木馬的通信行為模型，判斷可疑通信在內(nèi)網(wǎng)的IP地址，從而定位到內(nèi)網(wǎng)終端.取證和溯源取證時(shí)先盡可能的保留環(huán)境避免觸發(fā)自毀機(jī)制，還需注意被擦除、隱藏、加密的數(shù)據(jù)，采樣完成后可進(jìn)行溯源分析.處理方法及安全建議分析清楚特種木馬的存活機(jī)制之后，就可以針對(duì)性的提供處理方法了，不過(guò)大多時(shí)候都是建議先封