閱讀:1070
普廣網絡防禦思維
對於數據資訊的獲取就顯得尤為重要。利用網絡行為獲取數據資訊以成為數據獲取的主要途徑。為防止數據洩漏需要對數據從三個方面做防護:前期數據保護機制;對目標系統的定期安全檢查及網路安全防護能力;對於數據獲取過程中的通道創建,連結,通信的監控,包括主機的惡意行為防護,網路安全防護等措施。三個方面防禦措施的有效結合基本可以探知,保護,防禦,數據資訊,防止數據被盜取。
需要的效果
但是理想很豐滿,現實骨感。針對目標入侵行為,不但要能够保護目標,同時也要能够根據網絡痕迹,採用取證系統和資料分析對攻擊做跟踪,能够做到拔出蘿蔔帶出泥的效果。對於網絡攻擊獲取數據的防護,調查取證,也不僅僅簡單的看作是對單點攻擊事件的分析,更應該通過已掌握的資訊來挖據更多的資訊,從此徹底根除網絡毒瘤。
沒有最好
針對網絡攻擊中的調查取證及攻擊跟踪溯源現時比較行之有效的管道是利用已繳獲的攻擊樣本做深入分析,但是利用該方法去挖掘犯罪組織有兩個顯著的缺陷:
①慢,利用樣本分析來獲取,跟踪網絡犯罪組織相對比較慢,畢竟對於樣本資訊的挖掘,需要耗費更多的時間和精力。當出現大量樣本時無法實时有效的跟踪所有的網絡攻擊行為。
②少,利用的樣本分析是在既有樣本的前提下,但是不是所有的攻擊行為都能够獲取樣本,這樣在無樣本的狀態下就很難跟踪到樣本的實施者。
只要更好
數據就是一切,在大數據充斥網路空間的今天,利用資料分析系統從海量日誌資訊中挖掘資訊。不但適用於現實生活中的方方面面,而且在網絡攻擊跟踪方面也是不可獲取的重要環節。結合日誌稽核方案,利用大資料分析平臺通過機器學習的思想對既有安全性記錄檔做事件,時間、性質方面的多維度分析,從而快速、全面的獲取攻擊畫像。
接下來以前段時間爆出的XSHELL高級後門的威脅事件為例來探討在利用安全性記錄檔和資料分析來如何獲取更有價值的資訊。
XSHELL是為一款免費終端類比軟體,最早在8月4日外國安全公司卡巴斯基發現XSHEll軟件存在後門。對於該後門的具體實現過程在這裡不做過多的展開,從後門的整個實現過程來看內部採用多級加密技術,對於此類後門的分析和溯源相對來說要消耗更多的資源。如果從安全性記錄檔中利用資料分析的管道則更能方便,快捷的獲取攻擊行為及攻擊者的資訊。
接下來還是要擺事實講道理。
下圖為骨幹中部署的幾個監控點以天為組織在一段時間內的針對xshell後門連結行為的資料獲取。
從上圖可知即使在xshell補丁已經發佈N天之後,針對9月20日到9月26日之間的一個監控情况。從上圖可知到目前為止還有大量機器存在該後門。從上圖中看,9月22日,23日兩天後門活躍程度明顯下降,而到24日之後又明顯回升。究其原因在於,xshell屬於終端類比軟體,一般使用此軟件的用戶多為有一些電腦專業知識人員,從事電腦相關的工作。9月22日,23日為剛好為週五,週六;基本是休息狀態,此時用戶的活躍度也就不高。在圖中顯示相對較低,而在工作日,隨著用戶使用該軟件的數量增長。其監控的結果也就越加明顯。
下圖是以小時組織針對在9月20日到9月26日之間的xshell後門訪問情况。
從上圖中可以看出,xshell後門爆發和工作時間基本吻合,即在上下午的工作時間剛好是xshell後門爆發的高峰期,而在中午和夜間相對要少很多。
該後門利用DGA算灋生成功能變數名稱,並將GUID、主機名和用戶名等資訊一個加密首碼和功能變數名稱一起發送,下圖是利用部署的監控點所探查到的數據監控行為:
從結果來看監控數據主要由兩部分內容組成,一部分是就是由於主機名,GUID,用戶名等資訊經過加密以後組成;另一部分是有DGA算灋得到的功能變數名稱而構成。
下錶是在這20日到26日之間採集到的利用DGA算灋功能變數名稱的網絡行為監控:
DGA功能變數名稱生成算灋和年份月份息息相關。而功能變數名稱Jkvmdmjyfcvkf.com和Nylalobghyhirgh.com剛好是2017年8月份和9月份生成的兩個功能變數名稱。
在針對一些監控數據做了分析之後,就要利用通過自動化分析和綠盟威脅情報中心來識別出一些攻擊源資訊。
XShell後門通過DNS協定分別向8.8.8.8|8.8.4.4|4.2.2.1|4.2.2.2|[本地dns服務器]發送請求,等待回應。下麵截圖為針對這些服務器發起連接的部分截圖
圖中可以看出有局域網發起的DNS請求連接也有公網IP發起的DNS請求連接。並且會有部分DNS回應的數據,訓示DNS請求者遞迴査詢功能變數名稱資訊。
那除去這些針對默認dns服務器的連接,是否可以捕獲到一些具有攻擊性質的IP地址呢。結果之前資料獲取和自動化分析。地址資訊如下圖:
上圖得標紅部分為一些惡意IP地址資訊。
針對已經掌握的部分惡意IP從綠盟威脅情報中心對該IP做了進一步的確認和跟踪,如下圖
近期資料分析之後的結果
下圖是9月5日至11月4日之間對功能變數名稱的監控數據