江苏龙网

  1. 主页 > 生活百科 > >

企业遭到黑客攻击怎么处理,应急响应的整体思路和基本流程( 四 )

黑客攻击

f3322.net、3322.org、7766.org等等这些就是动态域名提供商 。

企业遭到黑客攻击怎么处理,应急响应的整体思路和基本流程

文章插图
 
sjb555.3322.org就是一个动态域名,在VirusTotal上被标记为恶意的 。
企业遭到黑客攻击怎么处理,应急响应的整体思路和基本流程

文章插图
 
这类域名常常是病毒的温床,不管是国家互联网应急中心,还是中国反网络病毒联盟,都是重点观察对象 。企业级用户很少会主动去使用动态域名 。
企业遭到黑客攻击怎么处理,应急响应的整体思路和基本流程

文章插图
 
近期域名:域名都是有创建时间(注册时间)的,Alexa全球排名百万之内的域名,都是很早之前就注册了的,从几年到十几、二十几年不等 。黑客攻击要逃避防火墙的封堵,极可能在实施的时候,再去注册一个域名 。注册一个字母长度大于7的域名,费用并不高,甚至可以低至 8元/年(还有些是免费的) 。黑客之所以倾向这么做,是因为旧域名,很可能已经被安全机构列入黑名单中(也就是说,已经被封堵了) 。
试想,企业级用户,无缘无故为什么要去访问一个刚刚注册的域名呢?
例如,防火墙产生日志如下,观察到,日志产生时间为 2016年1月27日,访问的站点为 cazwmwez.info 。
企业遭到黑客攻击怎么处理,应急响应的整体思路和基本流程

文章插图
 
接下来,我们来查查该域名的注册时间 。
方式:通过VirusTotal查询即可 。在Whois lookup这一栏,如图,观察Creation Date即注册时间为 2016年1月12日,RegistryExpiry Date即过期时间 为 1年之后 。很明显,这个是一个刚刚注册且很短命的域名(此域名来源于某一真实中毒客户,当时介入取证调查时间点为2016年2月初,也就是说不到1个月),域名的所有者并没有打算长期维护 。此外,域名的所有者也不是客户的(询问客户得知) 。
企业遭到黑客攻击怎么处理,应急响应的整体思路和基本流程

文章插图
 
暗网代理域名:暗网,也叫Tor网络,此网络的访问、传输流量是不可追踪溯源的,因此是黑色产业链的温床 。要访问暗网,要么病毒自己实现Tor客户端,要么通过Tor代理来访问Tor网络,而通过Tor代理访问的流量是未加密的,其直接使用Tor代理访问Tor站点服务器 。
因此,暗网代理域名是可以被检测到的 。
例如访问https://abbujjh5vqtq77wg.onion.link/由于二级域名onion.link属于Tor代理域名,所以认定此次访问行为是Tor网络访问行为,且为非法访问可能性极高 。
顶级域名:不是所有的顶级域名都需要特别关注,要从客户业务出发,去反推客户主机为何要访问相关的顶级域名 。也就是说,这里面有一批顶级域名,实际客户业务是不需要去访问的,那么剩下的就只有黑客行为了 。下表给出的,就是这样一批顶级域名(包括但不限于以下顶级域名):
顶级域名申请地区或机构为何重点关注 .ru 俄罗斯 俄罗斯盛产黑客 .ws 东萨摩亚 不知名国家,易申请,难追踪注册者 .cc 科科斯群岛 不知名国家,易申请,难追踪注册者 .pw 帕劳 不知名国家,易申请,难追踪注册者 .bz 伯利兹 不知名国家,易申请,难追踪注册者 .su 苏联 前苏联虽然解体了,顶级域名还在使用,且多与黑产有关 .bw 伯兹瓦纳 不知名国家,易申请,难追踪注册者 .gw 几内亚比绍 不知名国家,易申请,难追踪注册者 .ms 蒙塞拉特岛 不知名国家,易申请,难追踪注册者 .mz 莫桑比克 不知名国家,易申请,难追踪注册者
这里举个例子,我们在某台告警主机上,使用Wireshark抓网络网络,直接过滤DNS协议如下:
企业遭到黑客攻击怎么处理,应急响应的整体思路和基本流程

文章插图
 
可以看到,此主机解析了大量.pw站点的域名,如koqqveoukgjc.pw,.pw是帕劳国家顶级域名,此国家是一个非常小的岛国,跟中国大陆都没有建交,国内企业有需要访问他们站点的可能性低到零(或者有业务在帕劳的可能性) 。
六、常见病毒及分类勒索病毒:能对用户文件进行加密的病毒 。
企业遭到黑客攻击怎么处理,应急响应的整体思路和基本流程

文章插图
 
挖矿病毒:消耗用户CPU、GPU资源,进行大量运算,获取加密货币的病毒 。
企业遭到黑客攻击怎么处理,应急响应的整体思路和基本流程

文章插图
 
蠕虫:自动复制自身的副本到其它主机的病毒 。
木马:隐蔽性强,多用于监控用户行为或盗取用户数据的病毒 。


推荐阅读


上一篇:后台服务器老是被勒索多半是没有使用Nginx代理

下一篇:黄河白蛇事件 黄河蛇女事件