1、确认是否为误判
注:以下两个任何已确认OK,可以不用确认另外步骤;
A、网络流量抓包确认
如某目的主机正在进行扫描,可以通过在探针对接镜像口进行抓包进行分析;对应扫描安全事件抓包端口如下:
爆破事件
|
端口
|
常对应安全事件
|
SMB扫描
|
139、445
|
飞客蠕虫、WannaCry、蠕虫
|
RDP扫描
|
3389
|
GobleImposter勒索、蠕虫
|
SSH扫描
|
22
|
跳板攻击、数据盗取
|
FTP扫描
|
20、21
|
数据盗取
|
Telnet扫描
|
23
|
数据盗取
|
2、病毒查杀
(1)确认主机异常进程
定位到主机的IP后,需要登录到系统上确认是哪一个进程进行了发包数据,从抓到的数据包里面可以看到源数据包的主机地址与端口。在主机上根据端口地址,找到是哪一个进程进行了发包的操作。
建议使用
ProcessHacker可查看所有进程信息,包括进程加载的dll、进程打开的文件、进程读写的注册表等等,也可以将特定进程的内存空间Dump到本地,此外还可以查看网络连接。工具截图如下:
根据源端口,使用工具Process Hacker可以获取到进程名与PID。
同时也可以使用netstat命名查看当前关于445端口与139端口的进程或者其他端口
(2)进程检查
需要重点观察进程、与进程本身的路径、签名MD5等属性
找到源文件的exe程序体,关注其路径与签名等信息。
同时可以将此文件或者md5数值上传到
https://www.virustotal.com/进行查询,进一步确认其危险性。
3、清理程序
由于爆破只是主机对外表现异常行为,而并不清楚问题主机是哪一种病毒引发的爆破行为,同时有些流行病毒家族,通常对杀软有抑制性,或者本身有感染性,需要专杀工具去查杀和修复正常文件,这里不展开讲专杀工具,以下仅列出有专杀工具的流行病毒列表(
建议依次使用以下杀软进行查杀)
EDR通用扫描工具 (
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip)
飞客蠕虫专杀工具(
http://edr.sangfor.com.cn/tool/Kidokiller.zip)
Ramnit专杀工具 (
http://sec.sangfor.com.cn/download/index?file=FxRamnit.exe)
Sality专杀工具 (
http://sec.sangfor.com.cn/download/index?file=SalityKiller.exe)
Virut专杀工具 (
http://sec.sangfor.com.cn/download/index?file=VirutKiller.exe)
Zeus专杀工具 (
http://sec.sangfor.com.cn/download/index?file=ZbotKiller.exe)
Parite专杀工具 (
http://sec.sangfor.com.cn/download/index?file=avast.bat)
Spybot专杀工具 (
http://sec.sangfor.com.cn/download/index?file=FixSpybot.exe)
EmsisoftEmergencyKit:第三方公司Emsisoft提供的本地查杀工具
(
http://sec.sangfor.com.cn/download/index?file=EmsisoftEmergencyKit.exe)
处置说明:
深信服安全感知平台只是通过流量发现该主机存在爆破行为,但无法准确分析出是该主机的业务异常触发的爆破行为,还是病毒行为。因此以上只是我们提供的常用病毒引发的暴力破解的查杀方法;而当遇到平台检测出爆破行为,但使用专杀工具无法查杀到病毒的情况时,建议做如下步骤排查:
1、确认最近是否该主机业务是否存在异常,如卡顿、数据传输异常等;
2、是否最近有调整过业务,导致业务异常;
3、如以上问题都不存在,请联系深信服安全服务工程师;
