因为上级一直有个通告,单位的防火墙策略和APT都没办法找出来一个中毒的木马主机,今天在测试一个网络发包软件时,用wireshark抓了一下自己的icmp包,一看,有不少外网IP的icmp包,微步上查了一下,多数都是恶意IP,于是放进防火墙里。再根据行为日志的查找,找出和恶意IP进行通信的主机,进行了查杀。
由此可见,僵尸木马和病毒在进入主机运行后,会横向局域网内的其它设备,有的是通过ping相同网段进行横向的。通过这个特点,也可以抓出部分中毒主机。还有一些病毒,是通过不停发出arp广播包,来探测局域网内的其它设备的,也可以通过这个方法进行粗略的判别,不过 过滤协议要改为arp。
另外,防火墙上,对恶意IP,一定要配置入方向和出方向的双向阻止策略,这样才可以用这个方法来检测。