终端安全风险体检样本.docVIP

XXXX公司 终端安全风险 与未知恶意程序体检报告 赛门铁克软件（北京）有限公司 Contents 第1章 终端安全体检服务概述 3 1.1 外部背景分析 3 1.2 内部驱动力分析 4 1.3 体检服务测试概况 4 第2章 高风险受感染客户端体检结果分析 5 2.1 针对僵尸网络的体检服务 5 2.1.1 僵尸网络体检结果分析 5 2.1.2 僵尸网络介绍 7 2.1.3 僵尸网络的安全隐患 7 2.1.4 内部终端存在虚假安全软件的风险分析 8 2.1.5 内部终端存在间谍软件的风险分析 9 第3章 可疑受感染客户端体检结果分析 10 3.1 针对终端漏洞的体检结果分析 10 3.1.1 溢出漏洞体检结果分析 10 3.1.2 “漏洞利用”安全风险介绍 10 3.1.3 “漏洞利用”的安全风险隐患 10 3.2 可疑恶意远程控制软件体检结果分析 10 3.2.1 恶意远程控制攻击RAT介绍 11 3.2.2 恶意远程控制的风险隐患 11 3.3 恶意木马程序体检服务 11 3.3.1 恶意木马程序介绍 12 3.3.2 恶意木马间谍程序的风险隐患 12 3.4 终端下载和传播病毒文件的安全风险分析 12 3.4.2 可疑未知非安全文件下载行为体检结果分析 14 3.4.3 XXXX公司内部终端访问钓鱼网站的风险分析 15 3.4.4 内部终端恶意网站访问风险分析 16 第4章 终端不当网络行为体检结果分析 18 4.1.1 内部终端访问已知广告软件的行为报告 18 4.1.2 内部终端即时通讯软件使用情况分析报告 18 4.1.3 内部终端视频流量访问统计报告 19 4.1.4 内部终端P2P软件使用情况报告 19 4.1.5 内部终端网站访问统计报告 19 第5章 安全体检服务总结 21 5.1 总结 21 5.2 解决方案 22 5.2.1 短期建议 22 5.2.2 近期规划 22 5.2.3 远期规划 23 终端安全体检服务概述 外部背景分析 近几年网络安全，安全正在面临前所未有的挑战，这主要就来自于有组织、有特定目标、持续时间极长的针对特定目标的攻击攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码APT攻击持续性一步一步的获取进入组织内部的权限不断收集各种信息，直到。更加危险的是，这些新型的攻击和威胁主要就针对重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的。下面列举几个典型的APT攻击实例进一步分析Google极光攻击2010年的Google Aurora（极光）攻击是一个十分著名的APT攻击。Google被渗入数月，持续监听并最终获成功渗透进入Google的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息并且造成各种系统的数据被窃取。 夜龙攻击夜龙攻击是在2011年2月份发现并命名。该攻击的攻击过程是：SQL注入攻击机器植入恶意代码，并被安装远端控制工具（RAT），传回大量 RSA SecurID窃取攻击2011年3月，EMC公司下属的RSA公司遭受入侵，技术及客户资料被窃取。Adobe 的0day漏洞植入臭名昭著的Poison Ivy远端控制工具，并开始自的服务器下载指令进行任务超级工厂病毒攻击（震网攻击）超级工厂病毒的攻击者并没有广泛的去传播病毒，感染相关人员的U盘，病毒以U盘为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，利用多种一点一点的进行破坏。 Shady RAT攻击2011年8月份，Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中，渗透并攻击了全球多达70个公司和组织的网络 综合分析以上典型的APT攻击，可以发现 内部驱动力分析 目前在华陆工程科技已经部署了基于传统特征码的单一的病毒防护产品，解决了大多数的终端安全隐患。但是随着近几年恶意程序趋势的不断演化和发展，以及越来越复杂的终端安全环境，单一的终端安全防护产品面对各种防不胜防的未知恶意程序入侵和0 Day漏洞的防护已经力不从心。企业内部是否还存在未被检测到的风险存在，在那些终端上还存在严重的安全风险，是否有未知的恶意程序和僵尸网络已经潜伏在了企业内部的终端中，面对这些问题，华陆工程科技信息管理部门需要一个高可见度和统一的分析报告。因此在短期内掌握和了解目前华陆工程科技所面临的终端安全防护现状和困境，是完善华陆工程科技信息安全下一步建设的关键基础。 体检服务测试概况 这次针对XXXX公司的内部终端安全体检活动起始于2011年9月1日，截止到2011年9月15日，一共进行了2个星期的体检服务。这次体检服务通过部署Symantec Web Gateway（SWG）在XXXX