某能源企业部署NGTP解决方案,成功检测出特种木马,避免了严重的信息泄露事件发生。
1.检测结果
NGTP解决方案中的维系分析模块TAC,对这个特种木马进行了截获。下面的报告是TAC进行回放分析的报告截图,通过报告可以看出,此特种木马具有高威胁,TAC的静态检测引擎,分析出这个文件中包含了Shellcode特征。
2.恶意软件分析
crash.m3u是利用CVE-2009-1330漏洞的恶意文件,虽然这是一个2009年的老漏洞,但是防病毒软件却对这种特种木马无法检测。恶意文件的原理是使音频处理工具造成缓冲区溢出,攻击者获得系统控制权限,打开了一个网络端口5555,可以远程登录。下图描述了这一情形。
特种木马虽然利用了老漏洞,恶意文件中带有漏洞利用代码,但防病毒软件无法将其检测。一方面,说明了传统的基于签名技术的安全防御手段的不足,另一方面也证明了NGTP解决方案的价值,是新一代威胁检测和防御的有力保障。
