普广网络防御思维
对于数据信息的获取就显得尤为重要。利用网络行为获取数据信息以成为数据获取的主要途径。为防止数据泄漏需要对数据从三个方面做防护:前期数据保护机制;对目标系统的定期安全检查及网络安全防护能力;对于数据获取过程中的通道创建,链接,通信的监控,包括主机的恶意行为防护,网络安全防护等措施。三个方面防御措施的有效结合基本可以探知,保护,防御,数据信息,防止数据被盗取。
需要的效果
但是理想很丰满,现实骨感。针对目标入侵行为,不但要能够保护目标,同时也要能够根据网络痕迹,采用取证系统和数据分析对攻击做跟踪,能够做到拔出萝卜带出泥的效果。对于网络攻击获取数据的防护,调查取证,也不仅仅简单的看作是对单点攻击事件的分析,更应该通过已掌握的信息来挖据更多的信息,从此彻底根除网络毒瘤。
没有最好
针对网络攻击中的调查取证及攻击跟踪溯源目前比较行之有效的方式是利用已缴获的攻击样本做深入分析,但是利用该方法去挖掘犯罪组织有两个显著的缺陷:
①慢,利用样本分析来获取,跟踪网络犯罪组织相对比较慢,毕竟对于样本信息的挖掘,需要耗费更多的时间和精力。当出现大量样本时无法实时有效的跟踪所有的网络攻击行为。
②少,利用的样本分析是在既有样本的前提下,但是不是所有的攻击行为都能够获取样本,这样在无样本的状态下就很难跟踪到样本的实施者。
只要更好
数据就是一切,在大数据充斥网络空间的今天,利用数据分析系统从海量日志信息中挖掘信息。不但适用于现实生活中的方方面面,而且在网络攻击跟踪方面也是不可获取的重要环节。结合日志审计方案,利用大数据分析平台通过机器学习的思想对既有安全日志做事件,时间、性质方面的多维度分析,从而快速、全面的获取攻击画像。
接下来以前段时间爆出的XSHELL高级后门的威胁事件为例来探讨在利用安全日志和数据分析来如何获取更有价值的信息。
XSHELL是为一款免费终端模拟软件,最早在8月4日外国安全公司卡巴斯基发现XSHEll软件存在后门。对于该后门的具体实现过程在这里不做过多的展开,从后门的整个实现过程来看内部采用多级加密技术,对于此类后门的分析和溯源相对来说要消耗更多的资源。如果从安全日志中利用数据分析的方式则更能方便,快捷的获取攻击行为及攻击者的信息。
接下来还是要摆事实讲道理。
下图为主干网中部署的几个监控点以天为单位在一段时间内的针对xshell后门链接行为的数据采集。
从上图可知即使在xshell补丁已经发布N天之后,针对9月20日到9月26日之间的一个监控情况。从上图可知到目前为止还有大量机器存在该后门。从上图中看,9月22日,23日两天后门活跃程度明显下降,而到24日之后又明显回升。究其原因在于,xshell属于终端模拟软件,一般使用此软件的用户多为有一些计算机专业知识人员,从事计算机相关的工作。9月22日,23日为刚好为周五,周六;基本是休息状态,此时用户的活跃度也就不高。在图中显示相对较低,而在工作日,随着用户使用该软件的数量增长。其监控的结果也就越加明显。
下图是以小时单位针对在9月20日到9月26日之间的xshell后门访问情况。
从上图中可以看出,xshell后门爆发和工作时间基本吻合,即在上下午的工作时间刚好是xshell后门爆发的高峰期,而在中午和夜间相对要少很多。
该后门利用DGA算法生成域名,并将GUID、主机名和用户名等信息一个加密前缀和域名一起发送,下图是利用部署的监控点所探查到的数据监控行为:
从结果来看监控数据主要由两部分内容组成,一部分是就是由于主机名,GUID,用户名等信息经过加密以后组成;另一部分是有DGA算法得到的域名而构成。
下表是在这20日到26日之间采集到的利用DGA算法域名的网络行为监控:
DGA域名生成算法和年份月份息息相关。而域名Jkvmdmjyfcvkf.com和Nylalobghyhirgh.com刚好是2017年8月份和9月份生成的两个域名。
在针对一些监控数据做了分析之后,就要利用通过自动化分析和绿盟威胁情报中心来识别出一些攻击源信息。
XShell后门通过DNS协议分别向8.8.8.8|8.8.4.4|4.2.2.1|4.2.2.2|[本地dns服务器]发送请求,等待回应。下面截图为针对这些服务器发起连接的部分截图
图中可以看出有局域网发起的DNS请求连接也有公网IP发起的DNS请求连接。并且会有部分DNS回应的数据,指示DNS请求者递归查询域名信息。
那除去这些针对默认dns服务器的连接,是否可以捕获到一些具有攻击性质的IP地址呢。结果之前数据采集和自动化分析。地址信息如下图:
上图中标红部分为一些恶意IP地址信息。
针对已经掌握的部分恶意IP从绿盟威胁情报中心对该IP做了进一步的确认和跟踪,如下图
近期数据分析之后的结果
下图是9月5日至11月4日之间对域名的监控数据