从一条威胁告警发现隐蔽的“毒蛇”

时间:2024年11月26日

金秋,塔楼的玻璃幕墙反射出金色的阳光,与遍地的银杏叶照影,办公室里充满了忙碌而又宁静的气息。

李涛,一名网络安全工程师,正准备开始日常的网络巡检工作,他的主要工作是负责监测和响应自动化无法处置的告警事件。当他快速浏览防护日志时,被一条不寻常的日志记录吸引了,这让他想起不久前,看到安天的一篇报告,说“游蛇”组织的主要目标之一是大中型企业的网络,他心头一紧,因为这条威胁等级被定义为“高危”的日志显示,一台内网终端尝试外连疑似“游蛇”C2服务器的IP地址

李涛工作在一家集科研、生产、运营为一体的集团化企业,在数字化转型过程中,这家企业率先打造高效的数字化管理决策系统,建立了具有持续创新能力的自进化型的数字化系统,并在半年前,企业引入了安天智甲终端防御系统,以保护各类型终端计算环境,加强终端的安全防护能力。

集团网络中有包括办公终端、科研服务器及生产制造中专用的控制设备等各类型终端主机,上面包含众多的运营数据、科研数据和十几种业务控制系统,一旦被感染将对日常生产造成重大影响。干系重大且鉴于“游蛇”检测和处置的复杂性,李涛果断拨通了安天400 840 9234服务电话。

三重疑问

终端触发告警,说明攻击已深入企业网络内部,那用户的防护体系中是某个环节被新威胁突破而失效了?还是防护部署的覆盖面有遗漏?又或者是人员操作有疏忽?带着以上疑问,安天工程师紧急赴现场展开排查分析工作。

经安天工程师现场排查,李涛反映情况准确,他们很快就追溯到外连IP地址为已经确认的位于香港的黑IP,初步确认受害主机存在“游蛇”威胁。安天工程师使用安天“游蛇”专项排查工具对节点进行扫描,检测出恶意文件,如图1。

图1 专项工具扫描

“游蛇”黑产团伙主要通过即时通讯软件、搜索引擎恶意推广、钓鱼邮件等途径传播恶意程序。安天已多次发布相关分析报告(可点击查看)。经排查,有一终端用户的个人邮箱中有一封“发票”相关的邮件,邮件中的超链接能跳转到一个伪装的提供发票的钓鱼网站中,点击就会下载一个伪装成电子发票的恶意文件。

李涛和安天工程师立即找到了该终端使用者,而据他回忆,确实有过下载操作。感染的原因终于明白了,但仅仅简单的进行处理远不是网络安全工程师的目标,帮助客户找到真正的原因,并将威胁从系统中彻底清除干净,避免再次出现,才是最终目的,为此,他们开始了继续追根溯源。

继续追溯

通过定位发现,此威胁留有三处痕迹,相关恶意文件的创建时间最早可以追溯到今年3月份。查看受害终端的计划任务,发现存在三个恶意计划任务,其中之一,如图2。

图2 计划任务文件

该程序使用VMProtect进行加壳,以阻碍分析。在VirusTotal中关联发现与该程序相似的其他变种,根据多引擎以及沙箱反馈的结果,该程序为键盘记录器。

图3 多引擎扫描结果

从上图中可以看出,安天的AVL SDK反病毒引擎已能对该恶意文件进行识别,之所以受到感染是因为该电脑还没有部署安天智甲客户端

安天工程师进一步通过智甲管理中心对汇集的全网各类威胁告警日志进行梳理分析,发现在网内其他终端上早就有此类威胁活动的记录,只不过由于电脑安装了智甲客户端防护软件,直接被智甲清除,没有任何再活动的机会。

图4 智甲管理中心日志

李涛心里明白,由于各种原因集团暂时还没有强制所有接入内网的终端设备安装终端防护系统,而本次的事件恰恰出现在这批缺少终端防护的电脑上,这次得通过一些措施彻底解决,否则这些“裸奔”的终端始终是个大风险点。

安天工程师现场使用智甲处置工具对电脑进行了全盘检测,安装智甲客户端,做好初始配置并且管理中心同步防护策略和最新规则库。智甲终端防御系统可以实时检测通过邮件、网络下载、即时通讯工具和移动存储设备等方式传入的不明文件,结合内核级主动防御、黑白双控机制、内存异常检测等能力阻止“游蛇”相关恶意载荷的落地和加载运行。对受害终端上发现的“游蛇”恶意文件,可使用智甲的“文件追溯”功能进行全网范围内大排查,在已安装智甲的终端上未发现有感染迹象

解决问题

此时,李涛心中的大石头终于落地,安天工程师的疑问也都解开了。在分析和处理完受害终端的相关工作后,安天工程师还对一期项目中已经完成部署的智甲系统的防护情况做了梳理。经统计,智甲终端防御系统自23年8月上线以来,截至今年9月份,总共完成安装1000多个客户端,拦截和清除了9700多个病毒,包括APT相关的病毒、溢出类病毒等高级威胁近百个,仅2023年9月28日当天就拦截了三起勒索和游蛇相关的攻击

图5 典型勒索和“游蛇”攻击

在安天工程师的建议下,李涛以内部安全建议的方式向集团重要部门给出了如下建议

1. 还未安装智甲客户端的电脑,后续加强管控,通过管理制度和技术手段尽快完成安装,并及时更新智甲的特征库,增强终端侧的威胁防护能力;

2. 对确实不能安装终端防御系统的电脑,列明设备资产清单,严格要求使用者往这些设备上拷贝文件时,文件一定要经智甲扫描检测;

3. 对未安装智甲的电脑,在怀疑遭受“游蛇”攻击时,先尽快从安天垂直响应平台下载安全威胁排查工具,快速检测排查此类威胁,如有需要再联系安天工程师协助处置;

4. 近期安排一场安全培训,增强员工的安全意识,在使用微信、QQ等电脑端登录的即时通讯应用或接收到含有超链接的不明邮件时,提高警惕,以防被诱导下载和运行不明来源的各类文件。

李涛因为敏锐的发现并果断采取应对措施,避免了集团敏感数据、相关设计文件被窃取或遭勒索的事件发生,公司对李涛的出色表现给予了高度评价,‌并在全体员工会议上公开表扬了他。当然,李涛提出的要求所有接入设备强制性安装终端防护系统的建议也以此事件开始被各部门接受。而安天也因为迅速的响应、专业的处置、细致的服务赢得了信任和好评,继续开展该集团二期项目实施和三期项目规划的工作。‌

注:智甲“游蛇”专项排查工具获取位置:安天垂直响应平台(https://vs2.antiy.cn)- 安全威胁排查。

(以上根据真实案例改编,李涛为化名)