案例背景

　　當(dāng)前，大部分的網(wǎng)絡(luò)都是通過防病毒軟件、防毒墻等對網(wǎng)絡(luò)病毒、惡意代碼進(jìn)行發(fā)現(xiàn)或處理，通常處理情況如下：

　　系統(tǒng)補(bǔ)丁或病毒庫通常都會落后于病毒產(chǎn)生的時間，且補(bǔ)丁或庫文件在通過網(wǎng)絡(luò)更新的時候也存在感染的風(fēng)險，現(xiàn)在病毒的變種速度又非?？?，而且會采用相應(yīng)的新技術(shù)，如免殺技術(shù)、禁止殺軟運(yùn)行、內(nèi)核驅(qū)動等?？蓚鹘y(tǒng)的技術(shù)手段已經(jīng)落后于當(dāng)前病毒、惡意代碼的技術(shù)，且傳統(tǒng)手段對未知的蠕蟲病毒毫無辦法，經(jīng)過實(shí)踐發(fā)現(xiàn)，通過網(wǎng)絡(luò)行為分析手段則可以有效的發(fā)現(xiàn)未知蠕蟲病毒、惡意代碼等異常行為。

　　網(wǎng)絡(luò)分析技術(shù)通過旁路方式(科來網(wǎng)絡(luò)回溯分析系統(tǒng))捕獲分析網(wǎng)絡(luò)里傳輸?shù)牡讓訑?shù)據(jù)包，全面展現(xiàn)數(shù)據(jù)鏈路層到應(yīng)用層的信息，并提供豐富的關(guān)鍵參數(shù)，是記錄、分析、發(fā)現(xiàn)蠕蟲攻擊的最佳手段。

　　蠕蟲病毒原理

　　根據(jù)蠕蟲病毒的原理和特性，其通常具有“掃描、攻擊、寄生、傳播、發(fā)作”等幾大功能，每一個功能模塊具有不同的功能，如下圖所示：

　　可以看出，蠕蟲病毒在掃描、傳播、發(fā)作等過程中，將產(chǎn)生大量的網(wǎng)絡(luò)行為，根據(jù)實(shí)際分析，當(dāng)終端感染蠕蟲病毒后，其通訊行為通常具有以下特征：

　　網(wǎng)絡(luò)層(IP端點(diǎn))

　　同大量的主機(jī)進(jìn)行會話，即IP會話很多，且每個會話的流量很少;

　　大多是發(fā)送數(shù)據(jù)包，且數(shù)據(jù)包較小。

　　傳輸層(UDP、TCP會話)

　　產(chǎn)生大量的TCP、或UDP會話，會話特征類似(包括會話時間、收發(fā)數(shù)據(jù)包個數(shù)、流量等);

　　會話端口也有相應(yīng)的特征，如采用連續(xù)端口、固定端口和隨機(jī)端口進(jìn)行通訊;

　　發(fā)現(xiàn)的TCP SYN包，大部份沒有響應(yīng)或拒絕。

　　應(yīng)用層

　　應(yīng)用流量激增，會話數(shù)增多，通訊內(nèi)容類似，比較典型的是郵件蠕蟲。

　　分析案例

　　1、未知郵件蠕蟲分析

　　在一次流量巡檢中，偶然發(fā)現(xiàn)單位的郵件流量異常，即晚上10點(diǎn)以后，網(wǎng)絡(luò)里出現(xiàn)大量的STMP流量。提取SMTP數(shù)據(jù)，進(jìn)行深度分析，發(fā)現(xiàn)大量的SMTP的會話特征基本相同，會話頻率高，且每個會話的數(shù)據(jù)包在27-35之間。通過日志分析發(fā)現(xiàn)內(nèi)網(wǎng)IP XX.77.42最快時每秒鐘發(fā)送一份郵件，而郵件的大小和收件人都是QQ郵箱。查看該IP發(fā)送的內(nèi)容可以發(fā)現(xiàn)明顯的廣告推廣內(nèi)容。內(nèi)容是推廣“天貓”商城。而且多達(dá)近萬封的郵件內(nèi)容幾乎完全一樣，定位該IP，找出發(fā)送郵件的進(jìn)程，并進(jìn)行深度處理，發(fā)現(xiàn)了相應(yīng)的蠕蟲程序，網(wǎng)絡(luò)恢復(fù)正常。

　　分析小結(jié)：

　　蠕蟲發(fā)展越來越智能，攻擊和利用網(wǎng)絡(luò)的時間設(shè)置為錯開上班時間，這樣不會對網(wǎng)絡(luò)和PC使用者造成明顯的影響，因此更加的隱蔽，該IP在晚上10點(diǎn)后發(fā)送大量郵件，看似是正常的網(wǎng)絡(luò)行為，但通過行為分析后，可以確定是明顯的蠕蟲病毒。

　　2、CIFS蠕蟲分析

　　CIFS協(xié)議主要用于Windows主機(jī)之間進(jìn)行文件共享，通常采用445端口通訊，但該端口給我們帶來方便的同時，也帶來了很多風(fēng)險，如硬盤被偷偷共享等，下面就是一起利用445端口傳染蠕蟲病毒的案例。

　　在流量巡檢中，對網(wǎng)絡(luò)中的CIFS應(yīng)用數(shù)據(jù)進(jìn)行了重點(diǎn)分析，發(fā)現(xiàn)大部分IP的TCP同步發(fā)收比嚴(yán)重失衡。(正常情況下，TCP同步發(fā)收比應(yīng)該是1:1的狀態(tài))

　　定位到其中一個IP地址172.17.236.205，通過TCP會話視圖發(fā)現(xiàn)此IP不斷嘗試和61.139.8.101等多個IP建立TCP會話，這是典型的端口掃描行為：攻擊者對每臺主機(jī)發(fā)送至少3個TCP同步報文，其中大部分?jǐn)?shù)據(jù)包總量為3的是主機(jī)不存在或未作響應(yīng);數(shù)據(jù)包為6的是主機(jī)對掃描者回應(yīng)了TCP重置，表示攻擊者訪問的端口沒有開放;而有幾臺主機(jī)與攻擊者交換了幾十個數(shù)據(jù)包，說明攻擊者對這幾臺主機(jī)進(jìn)行了深入的漏洞掃描。

　　從這些掃描會話的數(shù)據(jù)流還原視圖中，可以明顯看出IPC$連接請求，和命名管道的訪問請求，可以看出這是針對Windows 2003 SP1以前版本“\pipe\browser”命名管道漏洞的攻擊嘗試。

　　分析小結(jié)：

　　通常情況下，邊界路由器、防火墻、IDS、防病毒軟件等是對付蠕蟲病毒的主要手段，而它們都是通過一些特征庫進(jìn)行檢測，因此這些措施都只能對現(xiàn)有的策略或已知的蠕蟲病毒進(jìn)行響應(yīng)。倘若蠕蟲發(fā)生變種，病毒特征會發(fā)生改變，繼續(xù)依靠特征庫則無法準(zhǔn)確檢測。但是它的工作流程、網(wǎng)絡(luò)行為是沒有改變的，所有通過抓包分析，根據(jù)網(wǎng)絡(luò)行為檢測蠕蟲病毒，是一種非常可行的解決辦法。