Ramnit木马藏匿，聚铭iNFA精准助力某高校定位处理网络安全隐患！

Ramnit木马藏匿，聚铭iNFA精准助力某高校定位处理网络安全隐患！ – 作者:南京聚铭网络

背景

最近，加利福尼亚大学遭受了勒索软件攻击，导致了隐私数据大规模泄露。该大学在周三的一份声明中警告了其学生和教职员工，勒索软件团伙可能已经窃取并发布了他们的个人数据以及全国数百所其他学校、政府机构和公司的个人数据。声明还说，一个或多个黑客还一直在发送大量恐吓电子邮件，威胁如不缴纳赎金就要发布数据。据悉，这些数据泄漏于12月和1月之间，黑客利用了已有20年历史的Accellion文件传输服务中的漏洞。

各种网络攻击事件均指向了网络安全检测防护建设的重要性。

而就在近日，国内某大学在与聚铭网络达成全面合作的情况下，借助聚铭网络流量智能分析审计系统，及时挖掘出现网环境中存在的安全隐患，定位处理了失陷主机，最终有效规避了安全事件的爆发，切实保障了内网环境安全稳定。

问题定位

该校作为一所综合大学，下设众多专业院系，幅员广，师生人数庞大。学校网络承载着师生在校期间的所有工作和学习任务，同时也包含着师生的各类信息，相关数据和内外访问流量十分庞大。学校业务的复杂性导致其信息化产品多元化且具有异构特征，硬件设施和软件产品基本是多品牌、多型号和不同架构组成，这本就给安全防护带来很大的不确定性。

起初，对于学校部分主机在浏览网页时出现运行缓慢、出错情况，学校工作人员以为只是正常的网络问题，但在后期发现系统还会出现崩溃的情况，严重影响了日常办公。

在部署运行聚铭网络流量智能分析审计系统监测网络安全情况时，系统首页便发现学校存在可疑流量。经过系统的搜集分析后，发现学校有主机感染了Ramnit木马。并且，该木马会有规律性的每隔十分钟就产生一次外部链接，直接登录美国地址。

通过全面的检测分析后，最终定位到学校至少已有5台主机感染了Ramnit木马，其中一主机为服务器设备，并追踪到感染路径为C:\ProgramFiles\Microsoft\DesktopLayer.exe。