首頁 > 關于我們 > 新聞動態 > 公司新聞

超融合檢測探針系統(CS)又立功了

發布時間 2019-01-15
說到 “又” 立功
好漢不得不提一下

去年的 英勇 事件


2018年7月,應用戶要求,超融合檢測探針系統(以下簡稱CS系統)參加了關鍵基礎設施保障任務。整個任務執行過程中,CS系統精確檢測攻擊上萬次,幫助用戶取得了優異成績,獲得了用戶的好評,用戶還為CS系統頒發了“獎狀”。
 

 


那這次 立功 又是什么情況呢?
請繼續往下看……



發現“挖礦事件” 


近期某用戶采購了一批CS系統,在2019年1月11號對CS系統實施部署,部署當天就告警了大量“TCP_木馬_CoinMiner_嘗試連接礦池”攻擊事件。



產品實施人員立即將此情況上報至用戶,并協調啟明星辰安全分析專家對告警事件進行分析,安全專家從告警事件返回的特征參數判斷,初步確認為用戶的主機被植入了XMRig(門羅幣挖礦木馬程序)。
 


木馬病毒種類繁多,XMRig挖礦木馬程序僅僅屬于其中一類,XMRig木馬并非以破壞為目的,而是出于“門羅幣”“比特幣”等虛擬幣價格不菲,通過XMRig木馬借助服務器資源挖取虛擬幣。

 


安全專家認為,如果CS系統告警準確,那么目的IP(94.130.64.225)應該存在很大問題。果不其然,專家通過啟明星辰威脅情報平臺VenusEye對目的IP進行查詢,發現該IP已存在諸多不良記錄。

 

 
 “XMRig”露出真面目 

經過安全專家的上述分析,雖然可以初步判定用戶服務器被植入了XMRig挖礦木馬程序,但想要完全確認XMRig木馬的存在,還需要找到這臺受害服務器。

安全專家向用戶提出申請,經用戶同意,獲得了受害服務器的訪問權限,通過查看受害主機的process信息,發現了XMRig進程的存在。數據顯示,XMRig程序占用了服務器的大量資源,直接影響了服務器正常業務的運行。

通過XMRig木馬的挖礦行為,再次證明了CS系統的攻擊檢測能力。
 


 消滅“XMRig”,拯救用戶服務器 

既然都發現了XMRig木馬的存在,肯定不能善罷甘休。下面是對XMRig木馬程序停止運行的簡單處理過程。

? 刪除系統的計劃任務





? 刪除木馬創建的秘鑰文件





? 修復SSH配置項并重啟sshd服務


? 查看系統啟動腳本,發現xm.sevice程序





? 停止程序啟動并刪除腳本程序

 




最后reboot服務器,確認XMRig程序不再運行,全部搞定。


啟明星辰網絡流量超融合檢測探針系統采用特征檢測技術、流量檢測技術、威脅情報技術、異常行為檢測技術、基線技術、靜態APT技術等多種技術相結合,通過對網絡流量的深度包解析和流解析,可以實現對攻擊行為、業務流行為的可視化顯示,并通過攻擊回溯、行為關聯和原始報文存儲實現對整個攻擊過程的回溯分析,追蹤取證。目前CS系統已經廣泛應用于多個行業,CS系統依托自己出色的超融合檢測能力,得到了用戶的一致認可。

上一篇 下一篇