網康NGFW助中關村第二小學解決木馬威脅

　2012年來，信息安全在全球范圍內都遭到嚴重挑戰，對于網絡的依賴使得網絡信息安全已經成為各部門、機構、學校、企業等的頭等大事。信息安全問題日益嚴重，企業用戶隨時都將遭到病毒、木馬、僵尸網絡等威脅。許多學校、企業等網絡中運行著他們沒有意識到的僵尸機器。這些被遠程控制的惡意軟件目的不是為了干擾系統，是為了找出最具價值的財產：知識產權和內部數據。如何采取主動防御措施，防范于未然？網康下一代防火墻的應用給予了很好的答案。

　　應用背景：

　　北京市海淀區中關村第二小學于1971年建校，坐落于海淀區中關村科技園區核心地帶，是海淀區乃至北京市所屬重點小學之一。學�，F已發展成為一所教師高素質、設施現代化、社會各界廣泛好評的市區“窗口”校。目前有中關村校區、華清校區、百旺校區3個校區。

　　中關村二小于今年11月上線測試了網康下一代防火墻產品。使用100M互聯網出口，用戶數大約500人，采用了網康NF-S360-D型號的設備作為透明網橋接入到網絡中，檢測網絡中存在的安全威脅。

　　最近，網康工程師使用下一代防火墻幫中關村二小的IT管理員抓住了網絡中被別人控制已久的一臺服務器，成功地消滅了網絡中的安全隱患。網康的工程師是這樣發現“肉雞”的。

　　診斷過程：

　　1. 登陸NGFW，發現當前網絡中的Top應用中“基于RPC協議的若干服務-終端位置服務”連接數排名第一，如下圖所示：

　　網康NGFW系統監控-Top應用排名圖

　　2. 直接點擊此應用進入應用分析�？梢钥吹剑�“基于RPC協議的若干服務-終端位置服務”存在漏洞，同時也為其他應用提供隧道。如下圖所示：

　　網康NGFW應用分析-指定應用的應用信息說明

　　3. 查看該應用的源地址只有“58.119.28.31”一個，但目的地址卻非常多，且雜亂無規律。如下圖所示：

　　網康NGFW應用分析-指定應用的源地址、目的地址排名

　　4. 目的地址涉及的國家包括香港、新加坡、印度、澳大利亞等，非常可疑。如下圖所示：

　　網康NGFW應用分析-指定應用的目的國家排名

　　5. 點擊“關聯流量日志”查看該應用對應的流量日志，可以發現目的端口均為135。135端口主要用于使用微軟RPC協議保證在一臺計算機上運行的程序可以順利地執行遠程計算機上的代碼。135端口上的RPC服務存在很大的安全漏洞，著名的“沖擊波”病毒就是利用RPC漏洞來攻擊計算機的。而58.119.28.31這臺主機明顯正在對其他IP進行RPC攻擊。如下圖所示：

　　網康NGFW數據中心-指定應用和源地址的流量日志

　　至此，網康工程師已確定這臺主機正在利用RPC漏洞攻擊別人。經中關村二小IT管理員確認，發現使用該IP的主機是一臺服務器，確實中了木馬并已被遠程控制。在這臺服務器被發現之前，黑客一直利用這臺服務器攻擊外網用戶并盜取內部的信息，由于行為隱蔽，部署在網絡中已采購的安全設備都沒有檢測出問題來。網康下一代防火墻通過檢測出這臺服務器對應用的非正常使用這些蛛絲馬跡，幫助用戶主動發現網絡中潛在的威脅，是有別于基于特征碼識別威脅的傳統安全設備的下一代安全工具。

　　用戶評價：

　　中關村二小信息中心負責人表示：網康下一代防火墻幫助我們發現了網絡中的僵尸主機，降低了網絡中的潛在風險，主動防御功能真的很有一套!

　　——————————————————————————————————

　　網康下一代防火墻采用了大量的客戶化技術，智能關聯分析技術，提供基于行為分析、多種類型日志的智能關聯和威脅分析可視化的防護手段，幫助用戶直觀地發現隱藏的潛在風險，比傳統安全體系更能洞悉潛在威脅的存在，并且通過主動防御技術能夠系統化地抵御未知威脅。