网络攻防——黛蛇蠕虫病毒
来源:互联网 发布:手机日历软件 编辑:程序博客网 时间:2024/05/01 09:36
黛蛇蠕虫是互联网上爆发的一个著名的蠕虫案例,它可以说是互联网安全威胁从网络病毒蠕虫时代终结,进入以僵尸网络,网页木马为热门的客户端威胁时代网络蠕虫的一次谢幕演出。
黛蛇蠕虫是在2005年12月15日开始在互联网上爆发的,主要是利用微软Windows操作系统在同年10月份爆出的MSDTC服务MS05-051安全漏洞,同时还集成MS05-039,MS04-045等漏洞的攻击代码。
在黛蛇爆发后,狩猎女神团队通过在互联网上部署的蜜罐系统在第一时间截获了蠕虫样本,并积极配合CNCERT/CC团队对蠕虫爆发事件进行了应急处理,有效的抑制了蠕虫的传播
黛蛇蠕虫事件应急处理过程的时间路线:
*12-15—21:45,狩猎女神在第一时间监测发现并截获了黛蛇蠕虫样本
*12-16—10:24,向CNCERT/CC报告了黛蛇爆发事件,定位了用于传播的shell控制指令,FTP服务器
*12-16—19:30,此时黛蛇已经感染了上万台主机,CNCERT/CC协调关闭了用于传播的FTP服务器,从而控制了进一步传播
*12-16—19:45,发布了黛蛇蠕虫样本分析报告
*12-17,CNCERT/CC对相关主机进行取证分析,定位蠕虫编写者为河南省南阳市某ADSL用户,并追踪到蠕虫编写者的网名和个人博客
*12-18—15:00,协助CNCERT/CC发布了黛蛇蠕虫公告。
黛蛇蠕虫机制:
①:外部感染源首先通过TCP 1025端口的MSDTC服务漏洞MS05-051攻陷蜜罐主机
②:注入shellcode,并执行后将连接控制命令服务器,获取FTP服务器位置和下载指令
③:从FTP服务器下载黛蛇蠕虫样本到蜜罐主机
④:在蜜罐主机上激活黛蛇蠕虫病毒
⑤:在蜜罐主机激活之后再进一步对外扫描进行传播
黛蛇蠕虫运行后,会扫描并试图利用漏洞攻击目标主机,目标主机的地址就是蠕虫携带的地址列表生成的,多数地址瞄准了中国互联网上国内用户,蠕虫攻击主机成功后,会操纵目标主机自动连接到某控制命令服务器的53号端口,请求黑客指令,然后根据指令从某FTP服务器下载并运行一个键盘记录软件和黛蛇蠕虫文件包,从而完成传染过程
- 网络攻防——黛蛇蠕虫病毒
- 朝花夕拾(3)—— 网络天空蠕虫病毒分析
- 深入了解网络中的蠕虫病毒 [多图]
- 蠕虫病毒——“木木”(Worm_MuMu.A)
- 蠕虫病毒
- 蠕虫病毒
- 反病毒小知识:深入了解网络中的蠕虫病毒
- 安全警告:最新蠕虫病毒正在网络横行
- Cisco交换机解决网络蠕虫病毒入侵问题
- 网络攻防之——指纹识别工具
- 网络攻防之——协议分析
- 网络攻防之——数据库评估
- 网络攻防之——Fuzz工具
- 查杀蠕虫病毒
- 蠕虫病毒编写技术
- 蠕虫病毒编写技术
- 感染Nimda蠕虫病毒
- 12.蠕虫病毒分析
- Hive Runtime Error while processing row
- 第五个实验 串口中断实验
- ZooKeeper
- C# 将16进制的btye数组转换为字符串
- HDU
- 网络攻防——黛蛇蠕虫病毒
- odoo10普通视图添加自定义css和自定义js
- 自制人物卡片轮播组件,自动轮播,点击切换
- 解密长沙矿工挖矿软件抽水图文教程
- 读取txt,分类训练集和测试集
- CKG10-高性能高可用Yii2.0电商平台 仿京东商城 高级组件 MySQL LVS
- java的mvc模式
- 第十二周 项目(5)
- Spark RDD知识点汇总