基於bro的計算機入侵取證實戰分析

新聞 06-07

本文原創作者：Charlene，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

什麼是計算機入侵取證

計算機取證是運用計算機及其相關科學和技術的原理和方法獲取與計算機相關的證據以證明某個客觀事實的過程。它包括計算機證據的確定、收集、保護、分析、歸檔以及法庭出示。

bro

基本介紹

bro是一款被動的開源流量分析器。它主要用於對鏈路上所有深層次的可疑行為流量進行安全監控，為網路流量分析提供了一個綜合平台，特別側重於語義安全監控。雖然經常與傳統入侵檢測/預防系統進行比較，但bro採用了完全不同的方法，為用戶提供了一個靈活的框架，可以幫助定製，深入的監控遠遠超出傳統系統的功能。

bro的目標在於搜尋攻擊活動並提供其背景信息與使用模式。它能夠將網路中的各設備整理為可視化圖形、深入網路流量當中並檢查網路數據包;它還提供一套更具通用性的流量分析平台。

我們通過一個實驗來學習基於bro的計算機入侵取證分析的技術。

實驗目標

本次實戰的例子是pcap attack trace，通過分析流量包中的extract file和log文件得到攻擊主機的IP

實驗過程

安裝bro工具

apt-

get

install bro bro-aux

實驗環境

配置bro

編輯

/etc/bro/site/local.bro

，在文件尾部追加兩行新配置代碼

@load frameworks/files/extract-all-files

# 提取所有文件

@load mytuning.bro

在

/etc/bro/site/

目錄下創建新文件mytuning.bro，

添加

：

原因：通常，Bro的事件引擎將丟棄沒有有效校驗和的數據包。如果想要在系統上分析本地生成/捕獲流量，所有發送/捕獲的數據包將具有不良的校驗和，因為它們尚未由NIC計算，因此這些數據包將不會在Bro策略腳本中進行分析，所以要設置成忽略校驗和驗證。

下載pcap包（實驗目標）

wget https:

//www.honeynet.org/files/attack-trace.pcap_.gz

解壓縮後使用bro自動分析pcap包

bro -r attack-trace.pcap_

/etc/

bro/site/
local.bro

出現警告信息 WARNING:No Site::local_nets have been defined. It』s usually a good idea to define your local networks.對於本次入侵取證實驗來說沒有影響。

如果要解決上述警告信息，編輯mytuning.bro，增加一行變數定義：

redef Site::

local

_nets = {

192.150

.


 
11
.0
/
24
 };

增加這行關於本地網路IP地址範圍的定義對於本次實驗來說會新增2個日誌文件，會報告在當前流量（數據包文件）中發現了本地網路IP和該IP關聯的已知服務信息

通過閱讀

/usr/share/bro/base/files/extract/main.bro

的源代碼

，

可以

了解到該文件名的最右一個-右側對應的字元串

FHUsSu3rWdP07eRE4l

是

files.log

中的文件唯一標識

查看files.log，可以得到，該文件提取自FTP會話，並得到該流量的conn_uids為CK4p013efE9TpisoXg

查看conn.log，找到id為CK4p013efE9TpisoXg的五元組信息，得到該PE文件來自於IPv4地址為98.114.205.102的主機

關於log文件顯示的小技巧

bro-cut

 ts
 uid
 id
.orig_h
 id
.resp_h
 proto
 < conn
.log

結語

通過這個實驗可以展示出bro在計算機取證方面具有十分有效的作用。它可以通過pcap包來獲取入侵者留下的痕迹。

但是它跟普通的網路流量包分析工具還是具有一定的區別的。

	Bro	Snort	Wireshark& Tshark
優勢	高級的異常檢測	正則表達式，簽名	流量分析
關注數據	連接對象，事件	數據包，數據流	協議剖析
可編程性	Bro DSL	不	不
實時或重放	兼備	兼備	Pcap重放
應用層	應用層自動化，數據動態分發	自動化， OpenAppID	手動，解析器