大地资源网视频在线观看新浪,日本春药精油按摩系列,成人av骚妻潮喷,国产xxxx搡xxxxx搡麻豆

北京天融信科技有限公司

免費會員
您現在的位置: 首頁> 公司動態> 美專用木馬曝光,天融信邊界+終端立體響應構筑防御壁壘
免費會員·4年
人:
李天昊

掃一掃訪問手機商鋪

美專用木馬曝光,天融信邊界+終端立體響應構筑防御壁壘

2024-4-12  閱讀(13)

分享:

近日,“美網絡間諜又一主力裝備曝光"的話題沖上熱搜,國家計算機病毒應急處理中心發布了美國專用“NOPEN"遠程木馬技術分析報告(以下簡稱“報告")


報告指出“NOPEN"木馬工具為針對Unix/Linux系統的遠程控制工具,主要用于文件竊取、系統提權、網絡通信重定向以及查看目標設備信息等,是美國接入技術行動處(TAO)遠程控制受害單位內部網絡節點的主要工具。


天融信自適應安全防御系統、EDR等均可精確檢測并查殺該木馬,同時天融信下一代防火墻可對該木馬監控端口和傳輸端口進行阻斷,有效阻止事件蔓延。


病毒事件分析報告


一、概述

本次分析的木馬為3.0.5.3版本,其基本信息如下表:


二、程序逆向


Noclient主控端

Noclient作為主控端程序需要特定的庫環境才能運行。其字符串并未加密,反編譯后的代碼邏輯清晰。從工具開始顯示的基本信息來看屬于3.0.5.3版本,主控端程序主要的作用是向受控端noserver發送指令并接收返回來的信息與結果;


程序通過-q參數服務器的ip地址和端口,以受控端noserver的上線;


從指令幫助說明中我們可以大致推斷出參數選項與遠控指令功能的對應關系如下;


noserver受控端

noserver受控端為了對抗分析檢測進行了去符號操作,采用變換方法隱藏所需要的字符串、通過系統調用來使用關鍵通信函數等,這給逆向分析帶來了一定阻礙;


如下圖所示,noserver的運行邏輯中會嚴格檢查參數的配置是否正確,所需要的字符串均通過動態解密出來后進行使用。如下圖為解密出getopt函數的第三個參數字符串“dc:l:suiIS:C:T:P:r:o",該字符串代表了noserver的命令行參數格式要求;


noserver用到的字符串解密方法是單字節乘以0x1Dh并舍棄結果的高位字節;

除此之外,noserver直接通過int 80h系統調用使用關鍵通信函數。包括sys_accept、sys_bind、sys_connect、sys_getpeername、sys_getsockname、sys_listen、sys_recvfrom、sys_sendt、sys_sendto、sys_setsockopt、sys_socket函數。一些敏感操作函數也使用此種方法,包括sys_execve、sys_exit、sys_fork、sys_nanosleep、sys_alarm、sys_wait4、sys_newuname函數;


在Linux操作系統中,uname命令的實際底層實現是sys_newuname函數。noserver直接調用sys_newuname函數即可獲取操作系統的版本、處理器信息、硬件架構信息;


在接收主控端的-ifconfig命令指令后,會獲取網絡詳細配置信息;


noserver還具備接收并執行新的shell腳本的能力;

最終將收集的信息和命令返回的結果使用RC6算法加密后發送到主控端;


如下為noserver受控端的部分模塊功能描述;


三、附錄

樣本IOC列表:


此外,該木馬被證實對當前多種主流的計算機環境仍然有效,在網絡上很可能仍然存在大量沒有被發現的受害者,這些受害者面臨長期而嚴重的網絡安全風險。


報告顯示,“NOPEN"遠程木馬既可以由攻擊者手動植入,也可以由美國的網絡攻擊平臺自動植入受害者的互聯網設備,因而可通過以下幾種方式加強防御



  • 及時修復系統及應用漏洞,降低被“NOPEN"遠程木馬通過漏洞入侵的風險;

  • 加強訪問控制,關閉不必要的端口,禁用不必要的連接,降低資產風險暴露面;

  • 更改系統及應用使用的默認密碼,配置高強度密碼認證,并定期更新密碼,防止弱口令攻擊;

  • 可安裝天融信自適應安全防御系統或者天融信EDR進行主動防御,可有效預防和查殺該木馬病毒。








天融信邊界+終端立體響應方案


面對當前的嚴峻形勢,融信重拳出擊推出邊界終端聯合防護的立體化方案,以下一代防火墻在網絡邊界阻斷木馬主控端和受控端連接,通過自適應安全防御系統以及EDR從終端側實時監測主機動態,發現木馬快速響應,實現威脅閉環防御。

天融信自適應安全防御系統

1、以微隔離策略加強訪問控制,降低橫向感染風險;

2、通過風險發現功能掃描系統是否存在相關漏洞和弱口令,降低風險、減少資產暴露;

3、開啟病毒實時監測功能,可有效預防和查殺該木馬。


天融信EDR

1、以微隔離策略加強訪問控制,降低橫向感染風險;

2、創建周期掃描任務,定時對主機進行全面清理,消除安全隱患;

3、開啟病毒實時監測功能,可有效預防和查殺該木馬。


天融信下一代防火墻

1、通過訪問控制策略對"1025“和"32754“端口進行控制,阻斷"NOPEN“遠程木馬主控端和受控端連接,降低內網終端被遠程控制的風險;

2、通過訪問控制策略限制網絡中ping和traceroute行為,降低內網被探測風險,減少資產暴露和橫向感染風險。



棱鏡門曝光美國電子計劃,到臭名昭著的網絡永恒之藍,從針對系列企業長達十余年時間的攻擊活動APT-C-40(NSA),到本次美國接入技術行動處(TAO)對外攻擊竊密所使用的主戰網絡“NOPEN"遠控木馬,這一系列安全事件直接敲響警鐘,網絡安全形勢岌岌可危!






國家之間的網絡對抗不僅僅是竊取情報,還會對關鍵基礎設施造成破壞,引發災難性后果,沒有網絡安全就沒有國家安全,加強網絡安全勢在必行。天融信始終以捍衛國家網絡安全為己任,創新超越,持續構建更加完善的網絡安全防御能力,為守衛國家網絡空間安全貢獻一份堅定力量。




會員登錄

×

請輸入賬號

請輸入密碼

=

請輸驗證碼

收藏該商鋪

X
該信息已收藏!
標簽:
保存成功

(空格分隔,最多3個,單個標簽最多10個字符)

常用:

提示

X
您的留言已提交成功!我們將在第一時間回復您~
產品對比 二維碼

掃一掃訪問手機商鋪

對比框

在線留言
主站蜘蛛池模板: 怀集县| 马山县| 宜良县| 云安县| 平安县| 保定市| 宁蒗| 新巴尔虎左旗| 资阳市| 济南市| 保德县| 富平县| 高安市| 乌鲁木齐县| 化州市| 汪清县| 顺平县| 宜昌市| 电白县| 古田县| 垦利县| 余干县| 汝阳县| 巩义市| 虞城县| 平顶山市| 隆子县| 德格县| 乌鲁木齐县| 镇坪县| 江孜县| 明溪县| 如皋市| 灵寿县| 连南| 琼结县| 大足县| 淮滨县| 廊坊市| 镇巴县| 驻马店市|