僵尸网络日志分析与查杀方法.pptx

僵尸网络日志分析与查杀方法目录1245僵尸网络简介日志分析流程简述日志分析详细病毒查杀3必要辅助网站2019/6/281、僵尸网络简介僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具2019/6/28查看数据中心的日志,不需要全部同时看。选取其中的部分IP,一个一个分析。我们的误判情况主要是针对单个IP的,即我们只要知道某个IP(内网终端)是否有无问题即可。其次,需要关注单个IP的所有日志情况,理论上,匹配上多种规则且危险等级偏高的日志,则该IP中毒的可能性越高。再则,需要快速排除可能的误判,包括该IP是否为代理,访问的链接是否为正常站点。最后,收集所有证据,反馈结果。注:如果不知道如何选取IP进行分析的话,可以在AF登录首页“僵尸主机”那一栏上去获取。、网址分析服务网站,曾获PCWorld杂志(美国版)2007年最优秀百大安全网站称号。目前已被Google收购,用来增强Google自身的互联网服务保护。它与传统杀毒软件的不同之处在于它是通过多种反病毒引擎对用户所上传的文件、网站URL或域名等进行检测,以此判断检测目标是否被病毒、蠕虫、木马以及各类恶意软件感染。(1)VirusTotalhttps:///6/28分析日志是少不了搜索引擎的,这里还是优先选择谷歌吧,实在找不到有效结果的时候,再尝试使用百度搜索试试运气。举个简单的例子,说明下为何优先选谷歌:有时候,我们需要确定IP的一些信息,谷歌搜索对IP查询的结果相当准确有效。例如,,谷歌结果一目了然,发现其有为Ransomware(勒索软件)服务的记录,包括其它黑客攻击记录。(2)Googlehttps:///6/28网站或域名,无非就两种,国内和国外。对于国内的,我们需要优先查询备案。如果日志中出现了有企业备案的域名,则很大可能是误判,可以将此结果反馈出来。至于个人备案的域名,公信度还没有那么高,不一定是误判。备案查询的接口很多,可以自己搜索,我这边主要使用的是美橙备案查询(子标题已给出链接地址)。如下,,主办单位性质那栏为“企业”,可信度高,是正常网站。(3)美橙互联2019/6/28国外的网站或域名,是不需要备案的。所以,判断它是否为正常可信网站,主要还是通过alexa全球排名,100w以内我们一般认为可信。是否为知名可信站点,通过子标题给出的链接,或者访问链接形如:einfo/+域名例如:einfo/(4)alexa/6/(5)IBMX-Force./new2019/6/(6)微步在线https://x./