解读：通过科来回溯技术分析两次典型蠕虫攻击

ZDNet至顶网软件频道消息： 当前，大部分的网络都是通过防病毒软件、防毒墙等对网络病毒、恶意代码进行发现或处理，通常处理情况如下：

系统补丁或病毒库通常都会落后于病毒产生的时间，且补丁或库文件在通过网络更新的时候也存在感染的风险，现在病毒的变种速度又非常快，而且会采用相应的新技术，如免杀技术、禁止杀软运行、内核驱动等。可传统的技术手段已经落后于当前病毒、恶意代码的技术，且传统手段对未知的蠕虫病毒毫无办法，经过实践发现，通过网络行为分析手段则可以有效的发现未知蠕虫病毒、恶意代码等异常行为。

网络分析技术通过旁路方式（科来网络回溯分析系统）捕获分析网络里传输的底层数据包，全面展现数据链路层到应用层的信息，并提供丰富的关键参数，是记录、分析、发现蠕虫攻击的最佳手段。

蠕虫病毒原理

根据蠕虫病毒的原理和特性，其通常具有“扫描、攻击、寄生、传播、发作”等几大功能，每一个功能模块具有不同的功能，如下图所示：

可以看出，蠕虫病毒在扫描、传播、发作等过程中，将产生大量的网络行为，根据实际分析，当终端感染蠕虫病毒后，其通讯行为通常具有以下特征：

• 网络层（IP端点）

同大量的主机进行会话，即IP会话很多，且每个会话的流量很少；

大多是发送数据包，且数据包较小。

• 传输层（UDP、TCP会话）

产生大量的TCP、或UDP会话，会话特征类似（包括会话时间、收发数据包个数、流量等）；

会话端口也有相应的特征，如采用连续端口、固定端口和随机端口进行通讯；

发现的TCP SYN包，大部份没有响应或拒绝。

• 应用层

应用流量激增，会话数增多，通讯内容类似，比较典型的是邮件蠕虫。

分析案例

1、未知邮件蠕虫分析

在一次流量巡检中，偶然发现单位的邮件流量异常，即晚上10点以后，网络里出现大量的STMP流量。提取SMTP数据，进行深度分析，发现大量的SMTP的会话特征基本相同，会话频率高，且每个会话的数据包在27-35之间。通过日志分析发现内网IP XX.77.42最快时每秒钟发送一份邮件，而邮件的大小和收件人都是QQ邮箱。查看该IP发送的内容可以发现明显的广告推广内容。内容是推广“天猫”商城。而且多达近万封的邮件内容几乎完全一样，定位该IP，找出发送邮件的进程，并进行深度处理，发现了相应的蠕虫程序，网络恢复正常。

分析小结：

蠕虫发展越来越智能，攻击和利用网络的时间设置为错开上班时间，这样不会对网络和PC使用者造成明显的影响，因此更加的隐蔽，该IP在晚上10点后发送大量邮件，看似是正常的网络行为，但通过行为分析后，可以确定是明显的蠕虫病毒。

2、CIFS蠕虫分析

CIFS协议主要用于Windows主机之间进行文件共享，通常采用445端口通讯，但该端口给我们带来方便的同时，也带来了很多风险，如硬盘被偷偷共享等，下面就是一起利用445端口传染蠕虫病毒的案例。

在流量巡检中，对网络中的CIFS应用数据进行了重点分析，发现大部分IP的TCP同步发收比严重失衡。（正常情况下，TCP同步发收比应该是1:1的状态）

定位到其中一个IP地址172.17.236.205，通过TCP会话视图发现此IP不断尝试和61.139.8.101等多个IP建立TCP会话，这是典型的端口扫描行为：攻击者对每台主机发送至少3个TCP同步报文，其中大部分数据包总量为3的是主机不存在或未作响应；数据包为6的是主机对扫描者回应了TCP重置，表示攻击者访问的端口没有开放；而有几台主机与攻击者交换了几十个数据包，说明攻击者对这几台主机进行了深入的漏洞扫描。

从这些扫描会话的数据流还原视图中，可以明显看出IPC$连接请求，和命名管道的访问请求，可以看出这是针对Windows 2003 SP1以前版本“\pipe\browser”命名管道漏洞的攻击尝试。

分析小结：

通常情况下，边界路由器、防火墙、IDS、防病毒软件等是对付蠕虫病毒的主要手段，而它们都是通过一些特征库进行检测，因此这些措施都只能对现有的策略或已知的蠕虫病毒进行响应。倘若蠕虫发生变种，病毒特征会发生改变，继续依靠特征库则无法准确检测。但是它的工作流程、网络行为是没有改变的，所有通过抓包分析，根据网络行为检测蠕虫病毒，是一种非常可行的解决办法。