TSOC出征海外，发现一大波“僵尸”来袭！

2018年11月，泰合产品本部为“一带一路”某成员国顺利完成泰合TSOC项目的产品交付，这意味着，泰合产品“迈出国门、走向世界”又一个标志性成果。借产品上线的东风，泰合北斗安全服务团队果断出击，在用户现场处置了多起针对该成员国的入侵事件，这种“平台结合服务”模式带给用户的价值，受到了成员国专家的认可和褒奖。同时，泰合北斗安全服务团队还帮助用户完成了安全管理平台建设的顶层设计及未来几年的安全防护体系建设规划，为用户提供全方位的保障服务和提供技术支撑。

一大波“僵尸”正在入侵

在产品运营阶段，产品上线后不久，TSOC产品就发出僵尸网络告警，如下报警图:

随即泰合北斗安全服务团队展开调查，发现了一大波僵尸入侵，即发现了该国网络遭受大规模僵尸网络攻击，涉及209个出口IP地址，这些受控僵尸网络，还存在挖矿、勒索攻击、隐蔽信道、恶意文件传播等高危行为。这209个出口IP地址，意味着该成员国的所有政府行政机构网络节点均受到波及，情况十分危急。

泰合北斗安全服务团队确认了与控制端(92.63.***.60)连接的僵尸IP地址共209个，并且实际内部主机或者终端数量正在不断扩大。

运用平台优势追踪“僵尸”行迹

泰合北斗服务人员利用TSOC平台打通各类数据优势，以及部署在用户网络中泰合日志审计系统（TSOC-SA）和泰合网络行为分析系统（TSOC-NBA）的告警信息为线索展开调查。

▶ 发现协议异常连接

对日志和流量展开调查发现，除了一大波僵尸入侵外，僵尸主机外联还存在5050端口的TCP半连接。

▶ 发现流量异常端口

泰合北斗服务人员以部署在用户网络中泰合网络行为分析系统（TSOC-NBA）对用户流量进行调查，对全部连接92.63.***.60的流量进行访问统计，发现连接该IP(92.63.***.60)的端口有80、5000、5050和9090，而80端口存在HTTP请求与僵尸主机连接两种通信。

▶ 发现恶意程序行为

通过对这三个端口的连接流量数据分析，除5000没有连接成功外，HTTP和9090均存在恶意行为。HTTP连接为下载请求，该请求获取的可执行程序为恶意程序。

▶ 发现挖矿端口连接

泰合北斗服务人员利用泰合网络行为分析系统（TSOC-NBA），发现9090端口为挖矿连接。

北斗处置经验分享

泰合北斗安全服务团队作为国内顶级分析团队，依托泰合TSOC管理平台，已经先后为国内3000多家单位提供过专业的服务。由于本次服务客户的需求特殊性，需要实时掌握全国各个重要机构和企业的网络安全运行状况，泰合北斗安全服务团队给出的整体方案时，充分考虑运用大数据集中的手段，通过全方面安全要素的获取（包括安全检测日志、流量数据），进行整体安全态势呈现及安全应急处置，整体安全建设框架围绕流量和安全检测日志两方面进行重点态势呈现，实现对国家级网络监管的责任。

在泰合TSOC平台运营期间， 泰合北斗安全服务团队不仅为用户打通了数据接口，包括但不限于日志审计系统、流量分析系统、威胁情报、防火墙、网站防护等设备的数据，而且，根据用户网络结构、业务逻辑定制了符合当前环境的安全分析场景，取得了非常好的实际运用效果。

对于本次一大波“僵尸”正在入侵的判断，也是基于泰合北斗安全服务团队的场景分析模型之一，僵尸判断模型完成。判断逻辑关系图如下：

场景分析模型：利用控制端与受控设备的网络行为进行识别，在泰合TSOC平台中，首先确定疑似僵尸主机，然后不同的僵尸主机连接同一个控制端，且一定时间内发现多个可疑僵尸主机外联控制端的行为。

总结

借助 “一带一路”国家战略的契机，泰合TSOC平台和泰合北斗安全服务以“平台结合服务”模式成功踏出国门，服务“一带一路”各成员国家。本次部署经验，为各成员国家针对自身整体网络安全的监管责任，发挥很好的示范作用。

前不久，连续两年成为亚洲唯一入围Gartner SEIM魔力象限的泰合TSOC平台，践行了“用最好的产品服务于客户，用最好的服务保障用户的安全”的承诺。通过TSOC平台和泰合北斗安全服务的经典模式，为用户提供整体网络安全的平台支撑，最终为提升国家网络安全的能力贡献力量。

参考文献

1.https://www.venustech.com.cn/article/new_type/60.html

2.https://mp.weixin.qq.com/s/OftrYdfSudSP_gPdYa6kmA

3.https://mp.weixin.qq.com/s/oWRkuYfh3TNfV61ssv8rTg

END