態勢感知之Malware Callback
0x00、業務需求
在企業安全需求當中,用戶最擔心就是自己的伺服器被入侵。作為安全運營人員,在應急響應過程中,最重要的是確定主機被入侵後的惡意行為,當自己的企業使用了自動化運營工具-態勢感知,我們可以量化其入侵後的惡意行為。以下是近期主機入侵後的惡意行為統計分析。
從上表可以看出,各種花式對外連接C2、惡意軟體行為、對外可疑連接、挖礦行為、對外DDoS行為、DGA域名外聯、是主要的惡意行為方式。那麼我們如何通過現有手段監控到這些行為呢?
0x01、產品解決方案
我們假設你企業中有兩種三種監控部署手段:
1、只擁有網路層監控手段,這種監控方式容易部署,對客戶打擾最少。
2、只擁有主機層監控手段,這種監控方式在雲伺服器端部署方便。
3、同時擁有網路和主機監控手段,可以通過威脅建模的方式快速綜合研判。
那麼,我們先說第一種情況:網路層探測惡意軟體回連(Malware Callback)
經過技術調研,我們可以通過以下手段分析觀察:
1、傳統入侵檢測規則匹配引擎
2、自定義監控規則
3、威脅情報
4、AI異常檢測
5、沙箱動態行為分析
在通用的IDS引擎當中使用正則表達式對一些明文或者密文特徵分析後,設置到規則引擎當中,發現
1、這比較簡單就是部署一套NIDS設備對外的流量持續監控,通過商業規則監控。但是這種監控相對來多是比較固定的特徵,監控類型也比較有限,所以需要長期維護。
挖礦行為例如:
CoinHive In-Browser Miner Detected
對外DDoS上線信息:例如:Trojan.Linux.MrBlackDDoS,監控以下特徵:
VERSONEX:Windows 7|1|3066 MHz|1024MB|522MB|Hacker 00
價值比較高的規則統計如下:
2、自定義監控規則:
要想實現這部分安全能力,需要配備強大的惡意軟體分析Team,收集全世界的惡意樣本,從樣本反編譯後對外連接的協議分析入手,當然也需要配合安全產品的自動化手段,對外聯的埠數據進行持續抓包的能力,然後匹配上線規則、攻擊指令、外聯通訊的一切特徵,當然,如果要是有加密的通訊也可以直接匹配,但是用戶看到抓包取證信息其實和很迷惑的,自身也無法判斷是否就是惡意行為。
持續抓包能力,如果沒有持續抓包能力,我們無法判斷攻擊響應是否成功。
勒索軟體外聯信息:Ransomware.Wcry.InfectionFail
GET / HTTP/1.1 Host: Cache-Control: no-cache
RAT獲取配置信息:Trojan.Nitol
GET /lls/tsctrl/controlhead.html?rand=1527748777 HTTP/1.1 User-Agent: IE Host: ud.liuliangshua.cn
RAT獲取配置信息:Trojan.Virut
GET /rc/ HTTP/1.1 Host: zief.pl HTTP/1.0 200 OK Server: Apache 1.0/SinkSoft Date: Thu, 31 May 2018 03:38:38 GMT Content-Length: 24 Sinkholed by CERT.PL
3、威脅情報
威脅情報的引入是給網路層態勢感知產品帶來新的活力,在雲環境通過以上兩種手段可以很好的監控雲內部的數據,但是我們對外聯目的地址的是數據一無所知,這時候威脅情報就派上用場了。
下圖是惡意外聯目標地址數據統計
從以上數據分析,可以看出主要是分兩大類數據,一類是直接用作入侵排查的數據:比如對外連接的殭屍網路控制器、挖礦地址、DGA域名,還有一類是對外可疑連接,代理、Tor、VPN、shadowsocks。這類可以做為入侵輔助分析數據。同時,威脅情報數據也可以和傳統的入侵檢測數據結合,產生更有價值的入侵排查研判結果。
4、AI異常檢測
其實針對威脅情報中的DGA域名識別、Tor、VPN、shadowsocks。也可以使用機器學習或者深度學習的技術手段檢測出來。DGA域名檢測是典型的機器學習使用場景,Tor、VPN、shadowsocks可以歸類為加密流量檢測。可以提取TLS特徵通過深度學習的方式檢測。當然底層引擎具備提供基礎數據的能力。
伴隨著網安等監管制度的完善,這部分的需求也會隨之增多,將來有可能在你觸網的任何網路部署:傳統運營商數據平面、3G/4G/5G移動網路平面、公有雲、政務雲
5、沙箱動態行為分析
通過IDS引擎還原下載到你網路內部的惡意文件,然後把它扔到沙箱中檢測,分析出其惡意行為後,研判其文件威脅級別。提供給用戶展示,這部分由於歷史文章描述比較多就不累述了。
0x02、總結與展望
本期主要講了網路層如何識別Malware Callback。大家可以結合自己的企業實際情況做入侵研判。希望對大家有幫助。主機層已經網路主機層聯動部分請聽下回分解。
TAG:嘶吼RoarTalk |