安全行动,只为中国(一)—— 分析响应重大蠕虫与僵尸网络事件篇
时间 : 2024年10月03日
国庆75周年之际,安天CERT将安全事件处置、重大事件研判、高级威胁分析等方面的历史工作进行汇聚梳理。以总结经验、提炼规律、改善不足,让我们后续的分析和响应工作,能更有效的支撑国家安全斗争。
威胁分析响应,是安天重要的能力频谱。安天面向攻击活动、攻击装备和威胁行为体,展开威胁感知、捕获、分析、处置、溯源、报送、曝光等系列工作,持续推动核心引擎和产品与服务能力迭代改进,有效支撑公共安全治理和国家安全斗争。
2004年,安天以病毒分析组为基础,组建了安天应急处理小组,后更名为安天安全研究与应急处理中心,即安天CERT。按照“第一时间启动,同时应对多线威胁,三体系联动,四作业面协同”的工作原则,构建了工作机制。面向重大安全事件和高级威胁响应处置,形成了整体战备动员机制。安天已经连续八届(十六年)蝉联国家互联网应急中心国家级(甲级)支撑单位。
今天带来,安天应急处置与威胁分析工作轨迹的第一部分——响应处置重大蠕虫传播、僵尸网络感染事件篇。
伴随着互联网的普及,发生了多起大规模的蠕虫爆发事件,包括红色代码、震荡波、冲击波等等,这些蠕虫快速传播,严重干扰了互联网基础设施运行,快速感染甚至控制大量主机节点。在响应处置这些蠕虫的过程,让安天逐渐形成了一套包括漏洞传播可用性分析、蠕虫感染捕获、样本分析、编写免费免疫和处置工具、发布分析报告等动作在内的分析流程,也使安天最早的创业者们完成了从传统的病毒分析工程师和开发程序员,向网络安全工程师的转型。形成安天“第一时间启动”的应急意识基础,相关的能力沉淀也为安天后续在针对APT攻击、定向勒索攻击等更为复杂的攻击活动分析时,形成了良好的工作基础。
安天响应处置重大蠕虫、僵尸网络传播感染的历史轨迹
2001年8月
事件:“红色代码Ⅱ”(Red Code Ⅱ)蠕虫
贡献:率先捕获、分析报告、专杀工具、普查工具
“红色代码Ⅱ”(Red Code Ⅱ)蠕虫专杀工具
更多信息参见:
《ⅡS 蠕虫 红色代码( RED CODE )》(刊载于安天技术文章汇编(三))
2003年1月
事件:SQL Slammer蠕虫
贡献:率先捕获、传播机理分析、快速修复工具
Slammer蠕虫补丁检查工具
2003年3月
事件:口令(Dvldr)蠕虫
贡献:率先捕获、深度分析报告、全网普查支撑、地理溯源
口令(Dvldr)蠕虫专杀工具
安天为高校提供的安全补丁批量分发工具
更多信息参见:
《紧急蠕虫Worm.Dvldr事态分析报告》
《基于口令破解机制的蠕虫家族关联分析报告》
(均刊载于安天技术文章汇编(三))
2003年7月
事件:冲击波(Blaster)蠕虫
贡献:捕获预警、深度分析报告、专杀、免疫工具
Blaster蠕虫专杀与免疫工具(哈工大-安天联合制作)
MSBlast免疫程序
2003年8月
事件:WelChia蠕虫
贡献:捕获预警、分析报告、免疫工具、网管批量处置工具
AV Lecah之流行蠕虫专杀工具增加对WelChia蠕虫
2004年5月
事件:震荡波(Sasser)蠕虫
贡献:捕获预警、分析报告、专杀工具、与网络天空同源性分析和源头地点判定
AV Lecah之流行蠕虫专杀工具增加对Sasser蠕虫
更多信息参见:
《基于典型开发方法和编码心理学的病毒同源性分析》
(刊载于安天技术文档汇编(一))
2005年1月
事件:RBOT及SDBOT僵尸网络
贡献:捕获预警、分析报告、专杀工具、提供线索捕获作者
AV Lecah之流行蠕虫专杀工具增加对RBOT及SDBOT僵尸网络
2006年8月
事件:魔波(Mocbot)蠕虫
贡献:专杀工具、监测分析、大规模遏制方案
AVL PK终极专杀工具对当时流行蠕虫和木马查杀
2006年12月
事件:熊猫烧香蠕虫
贡献:捕获预警、分析报告、专杀工具
“熊猫烧香”病毒专杀工具
2017年5月
事件:魔窟“WannaCry”
贡献:首发完整分析、专杀、免疫工具、内存密钥提取(恢复)工具、溯源支撑
魔窟“WannaCry”专杀工具
魔窟“WannaCry”免疫工具
魔窟“WannaCry”文件解密工具
更多内容参见:
2022年11月-2023年3月
事件:挖矿
贡献:分析报告、挖矿专题
更多内容参见: