1 概述

黑龍江省重大活動(dòng)期間，安天作為城市側(cè)網(wǎng)絡(luò)安全保障的總體技術(shù)支撐單位，支撐省市兩級(jí)主管部門(mén)，部署流量、蜜罐探針數(shù)百套、終端和服務(wù)器安全防護(hù)數(shù)萬(wàn)套，開(kāi)放垂直響應(yīng)、在線威脅分析、安全 DNS 多種服務(wù)。

現(xiàn)代城市是數(shù)字化的城市，大量政企機(jī)構(gòu)和公民個(gè)人與家庭的設(shè)備連接于城域網(wǎng)之上。保障目標(biāo)復(fù)雜多元，有海量的資產(chǎn)暴露面和可攻擊點(diǎn)。攻擊活動(dòng)暗流洶涌。僅活動(dòng)期間，安天網(wǎng)安護(hù)衛(wèi)隊(duì)在城市側(cè)累計(jì)監(jiān)測(cè)發(fā)現(xiàn)各類境外網(wǎng)絡(luò)攻擊事件達(dá) 5076 萬(wàn)次。其中主要的高頻事件包括網(wǎng)絡(luò)掃描探測(cè)、暴力破解登錄憑證、漏洞利用攻擊、遠(yuǎn)控木馬植入、挖礦木馬感染及僵尸網(wǎng)絡(luò)控制等，這些攻擊活動(dòng)如果不及時(shí)發(fā)現(xiàn)、阻斷和處置，有可能對(duì)城市運(yùn)行造成嚴(yán)重影響。本報(bào)告對(duì)相關(guān)工作中的六類高頻網(wǎng)絡(luò)攻擊事件各摘取一例案例進(jìn)行解析，以期為安全防護(hù)和運(yùn)營(yíng)工作提供參考與借鑒。

2 城市側(cè)安保網(wǎng)絡(luò)攻擊典型案例

2.1 網(wǎng)絡(luò)掃描案例

網(wǎng)絡(luò)掃描是指攻擊者通過(guò)主動(dòng)探測(cè)目標(biāo)網(wǎng)絡(luò)或系統(tǒng)，收集關(guān)鍵信息（如開(kāi)放端口、運(yùn)行服務(wù)、操作系統(tǒng)版本等）的行為，目的是發(fā)現(xiàn)被掃描目標(biāo)的資產(chǎn)暴露面，尋找可利用的的攻擊入口點(diǎn)，為后續(xù)攻擊做準(zhǔn)備，其處在網(wǎng)絡(luò)攻擊活動(dòng)中的 " 偵察 " 環(huán)節(jié)。

2025 年 2 月 13 日 2 時(shí)，安天監(jiān)測(cè)并阻斷了一起攻擊源 IP 地址位于美國(guó)的端口掃描攻擊事件。對(duì)攻擊 IP 進(jìn)行威脅情報(bào)查詢，安天威脅情報(bào)中心顯示該攻擊 IP 地理位置為美國(guó)，帶有多個(gè)歷史威脅活動(dòng)標(biāo)簽。通過(guò)溯源分析發(fā)現(xiàn) CENSYS-ARIN-01 網(wǎng)段歸屬于美國(guó) Censys, Inc. 公司所有，Censys, Inc. 公司是一家注冊(cè)于美國(guó)的主營(yíng)攻擊面管理和威脅搜尋解決方案的網(wǎng)絡(luò)安全公司。

圖 2 1 安天網(wǎng)絡(luò)威脅監(jiān)測(cè)預(yù)警系統(tǒng)告警信息

安天威脅情報(bào)中心顯示，該攻擊 IP 歸屬地為美國(guó)，依托歷史行為活動(dòng)標(biāo)注了 " 惡意 "、" 掃描 "、" 爆破 "、"DDoS" 等活動(dòng)標(biāo)簽。

圖 2 2 安天威脅情報(bào)顯示攻擊 IP 行為標(biāo)簽為掃描

對(duì)攻擊 IP 進(jìn)行 ASN 查詢，發(fā)現(xiàn)屬于 AS 398324（CENSYS-ARIN-01），而 CENSYS-ARIN-01 網(wǎng)段歸屬于美國(guó) Censys, Inc. 公司所有。

圖 2 3 ASN 查詢顯示 IP 屬于 CENSYS

值得特別關(guān)注的是，2024 年 10 月，美國(guó)國(guó)家情報(bào)總監(jiān)辦公室 ( ODNI ) 下屬的網(wǎng)絡(luò)威脅情報(bào)整合中心（CTIIC）授予 Censys 一份多年合同，代號(hào) "Sentinel Horizon"（哨兵地平線）。根據(jù)這一合同，Censys 將為美國(guó)情報(bào)界各機(jī)構(gòu)提供其互聯(lián)網(wǎng)情報(bào)平臺(tái)服務(wù)。Censys 利用其全球互聯(lián)網(wǎng)連續(xù)掃描與監(jiān)測(cè)能力，為美情報(bào)機(jī)構(gòu)提供對(duì)全球所有互聯(lián)網(wǎng)暴露資產(chǎn)的實(shí)時(shí)覆蓋和訪問(wèn)。

2.2 暴力破解案例

暴力破解攻擊是通過(guò)在攻擊者不掌握目標(biāo)系統(tǒng)的登錄憑證的情況下，通過(guò)反復(fù)嘗試系統(tǒng)登錄獲取受保護(hù)系統(tǒng)的訪問(wèn)權(quán)限?；驹硎峭ㄟ^(guò)嘗試空口令、弱口令、設(shè)備出場(chǎng)預(yù)設(shè)口令或歷史已破解（泄露）口令，或基于用戶相關(guān)信息及數(shù)字或字母的組合等，來(lái)反復(fù)登錄并找出正確的密碼，其處在網(wǎng)絡(luò)攻擊活動(dòng)中的 " 初始訪問(wèn) "、" 憑證訪問(wèn) " 等環(huán)節(jié)。

2025 年 2 月 8 日 22 時(shí)，安天監(jiān)測(cè)并阻斷了一起攻擊源 IP 地址位于越南的暴力破解攻擊事件。攻擊者使用 IP 地址 103.237.***.*** 對(duì)客戶服務(wù)器發(fā)起 SSH 暴力破解嘗試，企圖獲取系統(tǒng)訪問(wèn)權(quán)限。經(jīng)深入分析，安天確認(rèn)此次攻擊未成功，并立即啟動(dòng)威脅溯源流程。通過(guò)多維度威脅情報(bào)分析，顯示攻擊 IP 地理位置為越南，威脅標(biāo)簽顯示相關(guān)地址關(guān)聯(lián)掃描、暴力破解等惡意活動(dòng)。該攻擊 IP 關(guān)聯(lián)越南某圖書(shū)館數(shù)字化公司的業(yè)務(wù)域名（idtvietnam [ . ] vn）。

圖 2 4 安天網(wǎng)絡(luò)威脅監(jiān)測(cè)預(yù)警系統(tǒng)告警信息

安天威脅情報(bào)中心顯示，該攻擊 IP 歸屬地為越南，具有 " 惡意 "、" 爆破 "、" 掃描 " 等標(biāo)簽。

圖 2 5 安天威脅情報(bào)顯示該 IP 行為標(biāo)簽為爆破

對(duì)攻擊 IP 進(jìn)行域名反查，發(fā)現(xiàn)關(guān)聯(lián)域名 ( demo [ . ] idtvietnam [ . ] vn ) ，瀏覽 idtvietnam [ . ] vn 網(wǎng)站內(nèi)容，其是一家專注于圖書(shū)館數(shù)字化領(lǐng)域的越南公司。初步判斷相關(guān)主機(jī)被攻擊者入侵控制，成為攻擊肉雞。

圖 2 6 IP 反查域名結(jié)果

2.3 漏洞利用案例

漏洞利用是指攻擊者利用軟件、硬件或網(wǎng)絡(luò)協(xié)議中的安全漏洞來(lái)執(zhí)行未授權(quán)操作的行為，其處在網(wǎng)絡(luò)攻擊活動(dòng)中的 " 初始訪問(wèn) "、" 執(zhí)行 "、" 權(quán)限提升 " 與 " 防御繞過(guò) " 等環(huán)節(jié)。

2025 年 2 月 7 日 10 時(shí)，安天監(jiān)測(cè)并阻斷了一起攻擊源 IP 地址位于美國(guó)的漏洞利用攻擊事件，攻擊者企圖利用漏洞獲取系統(tǒng)控制權(quán)限。安天網(wǎng)安護(hù)衛(wèi)隊(duì)迅速響應(yīng)并完成攻擊行為研判，確認(rèn)攻擊未造成實(shí)際危害，并立即開(kāi)始溯源。通過(guò)威脅情報(bào)查詢、域名反查、歷史資產(chǎn)測(cè)繪、互聯(lián)網(wǎng)檢索等手段進(jìn)行溯源分析，發(fā)現(xiàn)該 IP 關(guān)聯(lián)瑞士網(wǎng)絡(luò)安全公司 BinaryEdge 的域名（binaryedge [ . ] ninja）。

圖 2 7 安天網(wǎng)絡(luò)威脅監(jiān)測(cè)預(yù)警系統(tǒng)告警信息

安天威脅情報(bào)中心顯示，該攻擊 IP 歸屬地為美國(guó)，具有 " 惡意 "、" 爆破 "、" 掃描 " 等標(biāo)簽。

圖 2 8 安天威脅情報(bào)顯示攻擊 IP 行為標(biāo)簽為掃描

對(duì)攻擊 IP 進(jìn)行域名反查，發(fā)現(xiàn)關(guān)聯(lián)域名 binaryedge [ . ] ninja 與 binaryedge [ . ] io，域名歸屬于瑞士 BinaryEdge 公司所有。

BinaryEdge 為一家網(wǎng)絡(luò)安全企業(yè)， 提供網(wǎng)絡(luò)攻擊面在內(nèi)的實(shí)時(shí)威脅情報(bào)。其平臺(tái)通過(guò)掃描互聯(lián)網(wǎng)上的設(shè)備和服務(wù)，收集關(guān)于開(kāi)放端口、服務(wù)、潛在漏洞以及配置不當(dāng)?shù)木W(wǎng)絡(luò)共享等信息。通過(guò)上述事件判斷其并非單純進(jìn)行端口服務(wù)和指紋探測(cè)，也進(jìn)行了 PoC 驗(yàn)證行為。

圖 2 9 反查域名發(fā)現(xiàn)其屬于瑞士 BinaryEdge 公司

2.4 遠(yuǎn)控攻擊案例

遠(yuǎn)程控制攻擊是指攻擊者通過(guò)植入帶有遠(yuǎn)程控制功能惡意程序（特洛伊木馬等）或利用合法遠(yuǎn)程管理工具（如 VNC、RDP、TeamViewer 等）、以及機(jī)器自身的開(kāi)放的管理服務(wù)（如遠(yuǎn)程桌面），來(lái)實(shí)現(xiàn)可以對(duì)目標(biāo)系統(tǒng)進(jìn)行操控的行為，其處在網(wǎng)絡(luò)攻擊活動(dòng)中的 " 命令與控制 "、" 持久化 "、" 執(zhí)行 " 與 " 防御繞過(guò) " 等環(huán)節(jié)。

2025 年 2 月 14 日 4 時(shí)，安天監(jiān)測(cè)并阻斷了一起攻擊源 IP 地址位于荷蘭的遠(yuǎn)控攻擊事件，安天網(wǎng)安護(hù)衛(wèi)隊(duì)溯源分析發(fā)現(xiàn)，該 IP 曾傳播遠(yuǎn)控木馬家族 NanoCore。NanoCore 是一種知名的遠(yuǎn)程控制木馬，最初作為合法的遠(yuǎn)程管理工具開(kāi)發(fā)，但被廣泛用于惡意目的。它具備遠(yuǎn)程控制、鍵盤(pán)記錄、屏幕監(jiān)控、竊取數(shù)據(jù)和攝像頭控制等功能，常通過(guò)釣魚(yú)郵件或漏洞傳播。感染后可能導(dǎo)致隱私泄露、數(shù)據(jù)竊取和設(shè)備被完全控制。

圖 2 10 安天網(wǎng)絡(luò)威脅監(jiān)測(cè)預(yù)警系統(tǒng)告警信息

安天威脅情報(bào)中心顯示，該攻擊 IP 歸屬地為荷蘭，具有 " 惡意 "、" 遠(yuǎn)控 "、"NanoCore" 等標(biāo)簽。

圖 2 11 安天威脅情報(bào)顯示攻擊 IP 傳 NanoCore 遠(yuǎn)控木馬

2.5 挖礦攻擊案例

挖礦攻擊是指攻擊者未授權(quán)利用受害者的計(jì)算資源（如 CPU、GPU 等）進(jìn)行加密貨幣挖礦（如比特幣、門(mén)羅幣等）的行為，目的是通過(guò)竊取資源牟利，其處在網(wǎng)絡(luò)攻擊活動(dòng)中的 " 執(zhí)行 "、" 持久化 " 與 " 防御繞過(guò) " 等環(huán)節(jié)。

重大活動(dòng)期間，安天網(wǎng)安護(hù)衛(wèi)隊(duì)?wèi)?yīng)急響應(yīng)了多起服務(wù)器挖礦攻擊事件?；诰W(wǎng)絡(luò)側(cè)感知到相關(guān)服務(wù)器到達(dá)礦池地址連接，由于該服務(wù)器未安裝防護(hù)軟件，護(hù)衛(wèi)隊(duì)員指導(dǎo)用戶進(jìn)行了工具處置。發(fā)現(xiàn)的挖礦木馬樣本（樣本 hash：B4A802912838ADD056FB0ACA7EE3A835，病毒名：Trojan/Win64.CoinMiner）。該木馬執(zhí)行后首先復(fù)制自身到 C:ProgramDataWinMngr 目錄下，并命名為 winmngrsa.exe，同時(shí)在 C:WindowsTEMP 下創(chuàng)建名為 yoygdjmdclhw.sys 的驅(qū)動(dòng)文件。該木馬通過(guò)一系列精心設(shè)計(jì)的服務(wù)操作來(lái)隱藏自身行為，包括刪除原有 "WinMngr" 服務(wù)，重新創(chuàng)建同名服務(wù)并設(shè)置為自啟動(dòng)，以及停止系統(tǒng)日志服務(wù)以逃避檢測(cè)。該挖礦木馬啟動(dòng)后，會(huì)通過(guò) dwm.exe 進(jìn)程連接惡意 IP 地址 185.215.***.***。安天通過(guò)流量分析確認(rèn)，這些連接均為挖礦通信流量，錢(qián)包地址為 47fEQ5mTN8MCL91SaDm6ooigyfKddGfTchFTudHDQLoyZ4Kps7jG19n1UA8eSwuzomEtjQqKkkZr6NmcbUWa3HtuA2dEe6e。該木馬會(huì)大量消耗系統(tǒng)算力資源，導(dǎo)致服務(wù)器性能嚴(yán)重下降，影響正常業(yè)務(wù)運(yùn)行，以及造成電力資源浪費(fèi)和硬件設(shè)備壽命縮短。

表 2 1 樣本標(biāo)簽

病毒名稱	Trojan/Win64.CoinMiner
原始文件名	winmngrsa.exe
MD5	B4A802912838ADD056FB0ACA7EE3A835
處理器架構(gòu)	Intel 386 or later processors and compatible processors
文件大小	2.50 MB ( 2,620,416 字節(jié) )
文件格式	BinExecute/Microsoft.EXE [ :X86 ]
時(shí)間戳	2024-12-26 17:17:10
數(shù)字簽名	無(wú)
加殼類型
編譯語(yǔ)言	Microsoft Visual C++

木馬運(yùn)行后會(huì)將自身復(fù)制到 C:ProgramDataWinMngr 目錄下，并命名為 winmngrsa.exe，且以 winmngrsa.exe 為進(jìn)程名駐留在系統(tǒng)中。

圖 2 12 復(fù)制自身到當(dāng)前目錄下

該木馬使用了驅(qū)動(dòng)技術(shù)，使用安天系統(tǒng)安全內(nèi)核分析工具 ATool 發(fā)現(xiàn)木馬同時(shí)在 C:WindowsTEMP 下創(chuàng)建名為 yoygdjmdclhw.sys 的驅(qū)動(dòng)文件，開(kāi)啟 ATool 的云查功能后，該驅(qū)動(dòng)文件被 ATool 的信譽(yù)分析帶有惡意內(nèi)容和惡意行為兩個(gè)標(biāo)簽，但帶有合法數(shù)字簽名。

圖 2 13 TEMP 目錄下創(chuàng)建名為 yoygdjmdclhw.sys 的驅(qū)動(dòng)文件

刪除系統(tǒng)原有 "WinMngr" 服務(wù)，重新創(chuàng)建同名服務(wù)并設(shè)置為自啟動(dòng)，便于受害機(jī)器重啟后重新執(zhí)行。下圖為使用 ATool 的云查功能發(fā)現(xiàn)病毒創(chuàng)建的服務(wù)，橙色表示惡意。

圖 2 14 創(chuàng)建 "WinMngr" 服務(wù)

該挖礦病毒啟動(dòng)后，會(huì)通過(guò) dwm.exe 進(jìn)程連接惡意 IP 地址 185.215.***.***。

圖 2 15 連接惡意 IP 地址

病毒內(nèi)置 XMRig 挖礦程序進(jìn)行挖礦，版本為 6.21.3，錢(qián)包地址為 47fEQ5mTN8MCL91SaDm6ooigyfKddGfTchFTudHDQLoyZ4Kps7jG19n1UA8eSwuzomEtjQqKkkZr6NmcbUWa3HtuA2dEe6e。

圖 2 16 挖礦流量

該挖礦木馬詳細(xì)信息參見(jiàn)安天病毒百科。

圖 2 17 長(zhǎng)按識(shí)別二維碼查看 CoinMiner 挖礦木馬詳細(xì)信息

2.6 僵尸網(wǎng)絡(luò)案例

僵尸網(wǎng)絡(luò)是指攻擊者通過(guò)惡意軟件感染大量設(shè)備（如 PC、服務(wù)器、IoT 設(shè)備）所組成的可以批量控制的網(wǎng)絡(luò)體系，攻擊者通過(guò)命令和控制服務(wù)器（C&C 服務(wù)器）遠(yuǎn)程操縱執(zhí)行網(wǎng)絡(luò)攻擊活動(dòng)（如 DDoS 攻擊、竊取敏感信息、發(fā)送垃圾郵件等），而這些被感染的計(jì)算機(jī)通常被稱為 " 僵尸主機(jī) " 或 " 肉雞 "，其處在網(wǎng)絡(luò)攻擊活動(dòng)中的 " 初始訪問(wèn) "、" 執(zhí)行 "、" 持久化 "、" 命令與控制 " 與 " 影響 " 等環(huán)節(jié)。

重大活動(dòng)開(kāi)始前，多家政企單位緊急部署了安天部署的智甲終端防御系統(tǒng)（網(wǎng)絡(luò)安全責(zé)任行動(dòng)版）快速覆蓋數(shù)萬(wàn)點(diǎn)主機(jī)終端，安裝后發(fā)現(xiàn)多個(gè)僵尸網(wǎng)絡(luò)感染事件，實(shí)現(xiàn)徹底清除。查殺了多個(gè)僵尸網(wǎng)絡(luò)病毒，其中包括 "Phorpiex" 僵尸網(wǎng)絡(luò)惡意代碼。"Phorpiex" 僵尸網(wǎng)絡(luò)在全球至少感染了 100 萬(wàn)臺(tái)計(jì)算機(jī)，惡意代碼（MD5:A775D164CF76E9A9FF6AFD7EB1E3AB2E，病毒名 Trojan/Win32.Phorpiex）是 "Phorpiex" 僵尸網(wǎng)絡(luò)的核心組件。病毒首先會(huì)在系統(tǒng)盤(pán)創(chuàng)建由隨機(jī)數(shù)字組成的隱蔽目錄，將自身偽裝為 dllhost.exe 系統(tǒng)文件，同時(shí)通過(guò)注冊(cè)表啟動(dòng)項(xiàng)和防火墻例外設(shè)置實(shí)現(xiàn)持久化駐留。該樣本具備破壞系統(tǒng)安全防護(hù)的能力。通過(guò)修改注冊(cè)表，病毒可以同時(shí)禁用 Windows Defender、關(guān)閉實(shí)時(shí)防護(hù)、屏蔽安全通知等關(guān)鍵安全設(shè)置。此外，病毒還會(huì)持續(xù)監(jiān)控剪貼板內(nèi)容，當(dāng)檢測(cè)到加密貨幣交易時(shí)，會(huì)自動(dòng)替換錢(qián)包地址實(shí)施盜竊。在傳播機(jī)制方面，該僵尸網(wǎng)絡(luò)展現(xiàn)出極強(qiáng)的擴(kuò)散能力。其內(nèi)置的 VNC 蠕蟲(chóng)模塊會(huì)掃描隨機(jī) IP 地址，使用硬編碼字典對(duì) 5900 端口實(shí)施暴力破解；NetBIOS 蠕蟲(chóng)模塊則通過(guò) 139 端口傳播，利用硬編碼口令進(jìn)行攻擊。一旦突破防線，病毒會(huì)立即下載 XMRig 挖礦程序，消耗主機(jī)資源為攻擊者牟利。

圖 2 18 攔截 Phorpiex 僵尸網(wǎng)絡(luò)惡意代碼

通過(guò)安天智甲終端檢測(cè)系統(tǒng)告警日志顯示，共查殺 3 起 Phorpiex 僵尸網(wǎng)絡(luò)惡意代碼攻擊。

圖 2 19 智甲查殺 Phorpiex 僵尸網(wǎng)絡(luò)惡意代碼的管理日志

表 2 2 樣本標(biāo)簽

	Trojan/Win32.Phorpiex
	sysklnorbcv.exe
	A775D164CF76E9A9FF6AFD7EB1E3AB2E
	84.50 KB ( 86,528 字節(jié) )
	2024-09-21 20:10:13

該僵尸網(wǎng)絡(luò)詳細(xì)信息參見(jiàn)安天病毒百科。

圖 2 20 長(zhǎng)按識(shí)別二維碼查看 "Phorpiex" 僵尸網(wǎng)絡(luò)詳細(xì)信息

3 小結(jié)

網(wǎng)絡(luò)掃描、暴力破解、漏洞利用、遠(yuǎn)程控制、挖礦及僵尸網(wǎng)絡(luò)攻擊等都是常態(tài)頻發(fā)的攻擊事件。我們本次披露的六個(gè)典型事件，是在本次重大活動(dòng)保障中所感知、響應(yīng)的海量事件中的典型案例。其背景既有來(lái)自黑灰產(chǎn)犯罪團(tuán)伙，也有某些國(guó)家安全企業(yè)機(jī)構(gòu)的影子，證實(shí)了網(wǎng)絡(luò)空間中技術(shù)對(duì)抗與利益博弈的多元性和復(fù)雜性。

面對(duì)復(fù)雜、嚴(yán)峻且持續(xù)的威脅挑戰(zhàn)，也提醒我們不能僅僅在重大活動(dòng)期間強(qiáng)化安全保障能力，而需要總結(jié)提煉重大活動(dòng)網(wǎng)絡(luò)安全保障經(jīng)驗(yàn)成果，轉(zhuǎn)化為常態(tài)化的保障能力，構(gòu)建城市網(wǎng)絡(luò)安全防護(hù)的 " 保底 " 機(jī)制。城市側(cè)管理機(jī)構(gòu)需要重視網(wǎng)絡(luò)安全的共性能力和基礎(chǔ)設(shè)施建設(shè)，形成安全托管與常態(tài)化網(wǎng)絡(luò)安全運(yùn)營(yíng)能力，通過(guò)建立長(zhǎng)效運(yùn)行機(jī)制，確?，F(xiàn)代城市的運(yùn)行。