终端安全风险体检样本.doc

(北京)有限公司Contents第1章 终端安全体检服务概述 外部背景分析 内部驱动力分析 体检服务测试概况 4第2章 高风险受感染客户端体检结果分析 针对僵尸网络的体检服务 僵尸网络体检结果分析 僵尸网络介绍 僵尸网络的安全隐患 内部终端存在虚假安全软件的风险分析 内部终端存在间谍软件的风险分析 9第3章 可疑受感染客户端体检结果分析 针对终端漏洞的体检结果分析 溢出漏洞体检结果分析 “漏洞利用”安全风险介绍 “漏洞利用”的安全风险隐患 可疑恶意远程控制软件体检结果分析 恶意远程控制攻击RAT介绍 恶意远程控制的风险隐患 恶意木马程序体检服务 恶意木马程序介绍 恶意木马间谍程序的风险隐患 终端下载和传播病毒文件的安全风险分析 可疑未知非安全文件下载行为体检结果分析 XXXX公司内部终端访问钓鱼网站的风险分析 内部终端恶意网站访问风险分析 16第4章 终端不当网络行为体检结果分析 内部终端访问已知广告软件的行为报告 内部终端即时通讯软件使用情况分析报告 内部终端视频流量访问统计报告 内部终端P2P软件使用情况报告 内部终端网站访问统计报告 19第5章 安全体检服务总结 总结 解决方案 短期建议 近期规划 远期规划 23终端安全体检服务概述外部背景分析近几年网络安全,终端安全正在面临前所未有的挑战,这主要就来自于有组织、有特定目标、持续时间极长的针对特定目标的高危可持续性攻击(APT).这类攻击利用了多种攻击手段,包括各种最先进的未知恶意程序入侵手段,新型僵尸网络的发展和社会工程学方法,甚至攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。因此APT攻击具有很高的的隐蔽性,持续性,从而一步一步的获取进入组织内部的权限,不断收集各种信息,直到盗取核心机密数据,关键文档,商业机密等。更加危险的是,这些新型的攻击和威胁主要就针对重要的基础设施和单位进行,包括针对像华陆科技这样的涉及大型化工工程,以及能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的单位的攻击。下面列举几个典型的APT攻击实例来做进一步分析。Google极光攻击:2010年的GoogleAurora(极光)攻击是一个十分著名的APT攻击。Google内部终端被未知恶意程序渗入数月,攻击者持续监听并最终获成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息,并且造成各种系统的数据被窃取。夜龙攻击:夜龙攻击是在2011年2月份发现并命名。该攻击的攻击过程是:利用SQL注入攻击和密码暴力破解目标机器并植入未知恶意代码,并被安装远端控制工具(RAT),最终传回大量机密文档。RSASecurID窃取攻击:2011年3月,EMC公司下属的RSA公司遭受入侵,公司关键技术及客户资料被窃取。而此次APT攻击就是利用了Adobe的0day漏洞植入臭名昭著的PoisonIvy远端控制工具在受感染客户端,并开始自僵尸网络的命令控制服务器下载指令进行任务。超级工厂病毒攻击(震网攻击):超级工厂病毒的攻击者并没有广泛的去传播病毒,通过特别定制的未知恶意程序感染相关人员的U盘,病毒以U盘为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心的逐步扩散,利用多种0day一点一点的进行破坏。ShadyRAT攻击:2011年8月份,Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中,通过植入未知木马程序渗透并攻击了全球多达70个公司和组织的网络综合分析以上典型的APT攻击,可以发现对内网终端进行隐蔽性的未知恶意程序和僵尸网络感染,后门木马植入和0day漏洞利用是APT获得成功的关键,因此有必要利用先进的技术手段对华陆科技公司进行一次内网终端安全的未知恶意程序体检服务。内部驱动力分析目前在华陆工程科技已经部署了基于传统特征码的单一的病毒防护产品,解决了大多数的终端安全隐患。但是随着近几年恶意程序趋势的不断演化和发展,以及越来越复杂的终端安全环境,单一的终端