在局域网中检测 Torpig

在局域网中检测 Torpig

我负责监督一所大学校园的局域网。最近,我们开始被 CBL 列入黑名单,因为我们的局域网上有人感染了 Torpig(又名 Anserin)。CBL 的建议包括监控与 IP 地址范围的连接。但是,我们没有看到这种流量流出。看起来这种情况只是偶尔发生在我们身上(距离上次事件已经过去了一个月)。有没有办法让我扫描机器以检测 Torpig 的存在?我似乎找不到任何可以可靠地做到这一点的工具。我甚至愿意扫描特定文件、注册表项等。

以下是我们收到的 CBL 消息:

此 IP 已感染 Torpig(赛门铁克将其称为 Anserin),或者正在为感染该 Torpig 的机器进行 NAT。

这是通过观察该 IP 尝试联系 Torpig 命令和控制服务器 91.20.214.121 检测到的,其内容是 Torpig C&C 命令协议所独有的。

Torpig 是一种银行木马,专门通过与银行网站的交互窃取个人信息(密码、账户信息等)。

Torpig 通常由 Mebroot 植入。Mebroot 是一个 Rootkit,它会将自身安装到 MBR(主引导记录)中。

对于 Mebroot 或任何其他会自行安装到 MBR 的 rootkit,您要么必须使用“MBR 清理器”,要么彻底重新格式化驱动器 - 即使您设法删除 Torpig,MBR 感染也会导致它再次被感染。

找到负责的机器的最佳方法是查找与 Torpig C&C 服务器的连接。此检测是通过与 91.20.214.121 的连接进行的,但该连接会定期更改。要查找这些感染,我们建议您搜索与 91.19.0.0/16 和 91.20.0.0/16 范围(换句话说:91.19.0.0-91.20.255.255)的 TCP/IP 连接,通常目标端口为 80 或 443,但您应该查找所有端口。此检测对应于 2011-07-21 12:42:02(GMT - 此时间戳被认为精确到 1 秒)的连接。

答案1

大多数恶意软件发现建议都集中在让用户在计算机上运行安全检查……你没有提到你的具体情况,但听起来你正在运行某种学校网络?这当然为解决这个问题增加了一层奇妙的困惑,因为它会导致各种额外的挫败感。

因此,首先要尝试的方法是教育用户。海报、公告等。当然,大多数用户可能会忽略这一点,但它可以提高人们的意识。鉴于 Torpig 显然禁用了 AV 软件,请让用户了解这种恶意软件的影响(窃取银行信息),并提供在线扫描仪的链接,并赞助分发可启动的恶意软件检测软件的刻录光盘,或赞助校园病毒检查活动,让 IT 人员前往宿舍进行扫描或将笔记本电脑带到某个地方进行免费的恶意软件检查。当然,要对清除恶意软件的影响承担适当的责任。

接下来,我会检查路由器。好的路由器应该能够通过 SNMP 报告网络流量,您可以检查它们是否存在异常流量模式。您应该能够判断流量何时出现异常峰值或检查异常情况,并且某些软件可能能够提醒您注意异常活动。有些老板可能会认为这是在浪费时间,检查似乎运行良好的设备的报告和状态。在我看来,熟悉事物的运行方式永远不会是浪费;有时你知道你的车会出现问题,因为有些东西“感觉不对劲”或“听起来不太对劲”,你的网络也是如此。

您是否代理了您的流量?您使用什么代理?我们有一段时间使用 FreeBSD Squid 盒,它在用户的计算机上捕获了恶意软件感染,因为我注意到来自该用户工作站的 ARP 表中存在一些异常;他的恶意软件正在广播各种 IP,试图攻击我们自己网络中的其他目标,并且它出现在我对代理服务器健康状况的状态检查中。

Torpig 显然使用 HTTP 命令来连接控制点。如果是记录活动,代理可能也会有所帮助。如果您可以找到 torpig 连接的一些 IP,您可能能够 grep 日志以查找来自 XYZ 机器的连接,从而非常快速地锁定它。过滤代理也应该能够自动阻止流量到达 C&C 服务器。

阅读对机器人的分析可能会给你一些想法。请参阅http://www.cs.ucsb.edu/~seclab/projects/torpig/torpig.pdf对恶意软件的行为进行研究。

另一个可以尝试的方法:给其他有此问题的大学发送电子邮件,询问他们正在做什么来检测流量。看看有人宣传他们正在分析学生流量的例子,看看你是否可以联系他们的 IT 人员;他们很可能愿意分享提示。http://cnc.ucr.edu/security/announcements/2010_03_04_mebroot.html

蜜罐...我不会反对将它放入您的网络中,只是因为这听起来像是您有学生和您无法控制的计算机。在网络上放置几个蜜罐,看看它能得到什么。我不知道 torpig 是否会被它检测到,但您可能会发现它对其他恶意软件很有用;在上面放置 SNORT 或其他 IDS 并经常检查它(并通过电子邮件向您发送警报)。

您可能要考虑的最后一件事是,但这完全取决于您的情况,即在您的网络上运行 SAINT 或 Nessus 之类的程序来检查机器是否存在漏洞。然而,这可能会严重消耗您的网络资源,有些人可能不喜欢他们的机器被扫描,如果政策中没有明确说明这一点,您可能会遇到问题。此外,这还取决于您的网络规模。

有一些工具可以让您了解网络上的情况,例如 spice network 的工具和 LanSweeper。

除此之外,我能想到的办法就是对网络上所有你确实有控制权的服务器进行全面审核,对它们运行漏洞框架工具以审核可能的安全问题,并加强边界路由器以限制所有用户不需要传出流量的传出端口,这样你就可以限制恶意软件在异常端口上的活动。至少,你可能需要一台机器或设备来监控来自奇数端口的异常活动,并让它发送警报,以便你跟进并联系其他与你学校类似的学校的其他 IT 部门,看看他们如何解决这个问题。

相关内容