扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
BO2000是一个有名的后门程序,它可以搜集信息,执行系统命令,重新设置机器及重定向网络。只要远程机器执行了BO2000 Server程序,攻击者就可以连接这部机器,执行上述动作。虽然BO2000可以当做一个简单的监视工具,但它主要的目的还是控制远程机器和搜集资料。BO2000匿名登录和可能恶意控制远程机器的特点,使它成为在网络环境里一个极其危险的黑客攻击工具。
如图9-10所示,防范体系对BO2000后门攻击的防护过程如下:
黑客使用BO2000的客户端软件通过Internet对被保护网络中的节点A进行操作。
该攻击行为首先被基于网络的IDS检测到,或者由节点A上的基于主机的IDS或网络隐患扫描评估软件发现该后门端口。当网络IDS或该主机IDS或隐患扫描系统检测到BO2000攻击行为信息后,立即向体系管理平台报告。
体系管理平台在收到相关报警信息后,会通知防火墙,由防火墙将该连接切断。
图9-10 防范体系对BO2000后门攻击的防护效果示意图
防火墙将攻击连接切断。
体系管理平台通知节点A的抗毁系统启动,进行信息完整性检查,并使用防病毒软件清除该后门程序(该步骤一般需要调动安全事件响应队伍进行响应工作,可使用查杀病毒软件来清除该后门),并调用主机A的取证机上的相关记录来分析后门的安装原因和攻击来源。
防火墙、抗毁系统和取证机向体系管理平台报告处理结果信息,由管理平台记录存档。
体系管理平台在将处理结果记录入库后,将处理结论反馈给最初攻击信息的报告者。
通知网络安全评估系统对经过上述处理的节点A进行扫描评估。
扫描评估系统将扫描结果向管理平台报告,若仍有问题,进入下一个处理流程,若没有问题,则将扫描评估系统的扫描结果存档即可。
体系管理平台及时将这次攻击处理的相关信息通知安全管理员,由安全管理员根据具体情况进行处理。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者