国产强伦姧在线观看无码,中文字幕99久久亚洲精品,国产精品乱码在线观看,色桃花亚洲天堂视频久久,日韩精品无码观看视频免费

      北京天融信科技有限公司

      免費(fèi)會(huì)員·4年
      您現(xiàn)在的位置: 首頁> 公司動(dòng)態(tài)> 美專用木馬曝光,天融信邊界+終端立體響應(yīng)構(gòu)筑防御壁壘

      美專用木馬曝光,天融信邊界+終端立體響應(yīng)構(gòu)筑防御壁壘

      2024-4-12  閱讀(12)

      分享:

      近日,“美網(wǎng)絡(luò)間諜又一主力裝備曝光"的話題沖上熱搜,國家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布了美國專用“NOPEN"遠(yuǎn)程木馬技術(shù)分析報(bào)告(以下簡(jiǎn)稱“報(bào)告")


      報(bào)告指出“NOPEN"木馬工具為針對(duì)Unix/Linux系統(tǒng)的遠(yuǎn)程控制工具,主要用于文件竊取、系統(tǒng)提權(quán)、網(wǎng)絡(luò)通信重定向以及查看目標(biāo)設(shè)備信息等,是美國接入技術(shù)行動(dòng)處(TAO)遠(yuǎn)程控制受害單位內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)的主要工具。


      天融信自適應(yīng)安全防御系統(tǒng)、EDR等均可精確檢測(cè)并查殺該木馬,同時(shí)天融信下一代防火墻可對(duì)該木馬監(jiān)控端口和傳輸端口進(jìn)行阻斷,有效阻止事件蔓延。


      病毒事件分析報(bào)告


      一、概述

      本次分析的木馬為3.0.5.3版本,其基本信息如下表:


      二、程序逆向


      Noclient主控端

      Noclient作為主控端程序需要特定的庫環(huán)境才能運(yùn)行。其字符串并未加密,反編譯后的代碼邏輯清晰。從工具開始顯示的基本信息來看屬于3.0.5.3版本,主控端程序主要的作用是向受控端noserver發(fā)送指令并接收返回來的信息與結(jié)果;


      程序通過-q參數(shù)服務(wù)器的ip地址和端口,以受控端noserver的上線;


      從指令幫助說明中我們可以大致推斷出參數(shù)選項(xiàng)與遠(yuǎn)控指令功能的對(duì)應(yīng)關(guān)系如下;


      noserver受控端

      noserver受控端為了對(duì)抗分析檢測(cè)進(jìn)行了去符號(hào)操作,采用變換方法隱藏所需要的字符串、通過系統(tǒng)調(diào)用來使用關(guān)鍵通信函數(shù)等,這給逆向分析帶來了一定阻礙;


      如下圖所示,noserver的運(yùn)行邏輯中會(huì)嚴(yán)格檢查參數(shù)的配置是否正確,所需要的字符串均通過動(dòng)態(tài)解密出來后進(jìn)行使用。如下圖為解密出getopt函數(shù)的第三個(gè)參數(shù)字符串“dc:l:suiIS:C:T:P:r:o",該字符串代表了noserver的命令行參數(shù)格式要求;


      noserver用到的字符串解密方法是單字節(jié)乘以0x1Dh并舍棄結(jié)果的高位字節(jié);

      除此之外,noserver直接通過int 80h系統(tǒng)調(diào)用使用關(guān)鍵通信函數(shù)。包括sys_accept、sys_bind、sys_connect、sys_getpeername、sys_getsockname、sys_listen、sys_recvfrom、sys_sendt、sys_sendto、sys_setsockopt、sys_socket函數(shù)。一些敏感操作函數(shù)也使用此種方法,包括sys_execve、sys_exit、sys_fork、sys_nanosleep、sys_alarm、sys_wait4、sys_newuname函數(shù);


      在Linux操作系統(tǒng)中,uname命令的實(shí)際底層實(shí)現(xiàn)是sys_newuname函數(shù)。noserver直接調(diào)用sys_newuname函數(shù)即可獲取操作系統(tǒng)的版本、處理器信息、硬件架構(gòu)信息;


      在接收主控端的-ifconfig命令指令后,會(huì)獲取網(wǎng)絡(luò)詳細(xì)配置信息;


      noserver還具備接收并執(zhí)行新的shell腳本的能力;

      最終將收集的信息和命令返回的結(jié)果使用RC6算法加密后發(fā)送到主控端;


      如下為noserver受控端的部分模塊功能描述;


      三、附錄

      樣本IOC列表:


      此外,該木馬被證實(shí)對(duì)當(dāng)前多種主流的計(jì)算機(jī)環(huán)境仍然有效,在網(wǎng)絡(luò)上很可能仍然存在大量沒有被發(fā)現(xiàn)的受害者,這些受害者面臨長(zhǎng)期而嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。


      報(bào)告顯示,“NOPEN"遠(yuǎn)程木馬既可以由攻擊者手動(dòng)植入,也可以由美國的網(wǎng)絡(luò)攻擊平臺(tái)自動(dòng)植入受害者的互聯(lián)網(wǎng)設(shè)備,因而可通過以下幾種方式加強(qiáng)防御



      • 及時(shí)修復(fù)系統(tǒng)及應(yīng)用漏洞,降低被“NOPEN"遠(yuǎn)程木馬通過漏洞入侵的風(fēng)險(xiǎn);

      • 加強(qiáng)訪問控制,關(guān)閉不必要的端口,禁用不必要的連接,降低資產(chǎn)風(fēng)險(xiǎn)暴露面;

      • 更改系統(tǒng)及應(yīng)用使用的默認(rèn)密碼,配置高強(qiáng)度密碼認(rèn)證,并定期更新密碼,防止弱口令攻擊;

      • 可安裝天融信自適應(yīng)安全防御系統(tǒng)或者天融信EDR進(jìn)行主動(dòng)防御,可有效預(yù)防和查殺該木馬病毒。








      天融信邊界+終端立體響應(yīng)方案


      面對(duì)當(dāng)前的嚴(yán)峻形勢(shì),融信重拳出擊推出邊界終端聯(lián)合防護(hù)的立體化方案,以下一代防火墻在網(wǎng)絡(luò)邊界阻斷木馬主控端和受控端連接,通過自適應(yīng)安全防御系統(tǒng)以及EDR從終端側(cè)實(shí)時(shí)監(jiān)測(cè)主機(jī)動(dòng)態(tài),發(fā)現(xiàn)木馬快速響應(yīng),實(shí)現(xiàn)威脅閉環(huán)防御。

      天融信自適應(yīng)安全防御系統(tǒng)

      1、以微隔離策略加強(qiáng)訪問控制,降低橫向感染風(fēng)險(xiǎn);

      2、通過風(fēng)險(xiǎn)發(fā)現(xiàn)功能掃描系統(tǒng)是否存在相關(guān)漏洞和弱口令,降低風(fēng)險(xiǎn)、減少資產(chǎn)暴露;

      3、開啟病毒實(shí)時(shí)監(jiān)測(cè)功能,可有效預(yù)防和查殺該木馬。


      天融信EDR

      1、以微隔離策略加強(qiáng)訪問控制,降低橫向感染風(fēng)險(xiǎn);

      2、創(chuàng)建周期掃描任務(wù),定時(shí)對(duì)主機(jī)進(jìn)行全面清理,消除安全隱患;

      3、開啟病毒實(shí)時(shí)監(jiān)測(cè)功能,可有效預(yù)防和查殺該木馬。


      天融信下一代防火墻

      1、通過訪問控制策略對(duì)"1025“和"32754“端口進(jìn)行控制,阻斷"NOPEN“遠(yuǎn)程木馬主控端和受控端連接,降低內(nèi)網(wǎng)終端被遠(yuǎn)程控制的風(fēng)險(xiǎn);

      2、通過訪問控制策略限制網(wǎng)絡(luò)中ping和traceroute行為,降低內(nèi)網(wǎng)被探測(cè)風(fēng)險(xiǎn),減少資產(chǎn)暴露和橫向感染風(fēng)險(xiǎn)。



      棱鏡門曝光美國電子計(jì)劃,到臭名昭著的網(wǎng)絡(luò)永恒之藍(lán),從針對(duì)系列企業(yè)長(zhǎng)達(dá)十余年時(shí)間的攻擊活動(dòng)APT-C-40(NSA),到本次美國接入技術(shù)行動(dòng)處(TAO)對(duì)外攻擊竊密所使用的主戰(zhàn)網(wǎng)絡(luò)“NOPEN"遠(yuǎn)控木馬,這一系列安全事件直接敲響警鐘,網(wǎng)絡(luò)安全形勢(shì)岌岌可危!






      國家之間的網(wǎng)絡(luò)對(duì)抗不僅僅是竊取情報(bào),還會(huì)對(duì)關(guān)鍵基礎(chǔ)設(shè)施造成破壞,引發(fā)災(zāi)難性后果,沒有網(wǎng)絡(luò)安全就沒有國家安全,加強(qiáng)網(wǎng)絡(luò)安全勢(shì)在必行。天融信始終以捍衛(wèi)國家網(wǎng)絡(luò)安全為己任,創(chuàng)新超越,持續(xù)構(gòu)建更加完善的網(wǎng)絡(luò)安全防御能力,為守衛(wèi)國家網(wǎng)絡(luò)空間安全貢獻(xiàn)一份堅(jiān)定力量。




      會(huì)員登錄

      ×

      請(qǐng)輸入賬號(hào)

      請(qǐng)輸入密碼

      =

      請(qǐng)輸驗(yàn)證碼

      收藏該商鋪

      X
      該信息已收藏!
      標(biāo)簽:
      保存成功

      (空格分隔,最多3個(gè),單個(gè)標(biāo)簽最多10個(gè)字符)

      常用:

      提示

      X
      您的留言已提交成功!我們將在第一時(shí)間回復(fù)您~
      產(chǎn)品對(duì)比 二維碼

      掃一掃訪問手機(jī)商鋪

      對(duì)比框

      在線留言