當前位置:
首頁 > 新聞 > 態勢感知之Malware Callback

態勢感知之Malware Callback

新聞 01-14

0x00、業務需求

在企業安全需求當中,用戶最擔心就是自己的伺服器被入侵。作為安全運營人員,在應急響應過程中,最重要的是確定主機被入侵後的惡意行為,當自己的企業使用了自動化運營工具-態勢感知,我們可以量化其入侵後的惡意行為。以下是近期主機入侵後的惡意行為統計分析。

從上表可以看出,各種花式對外連接C2、惡意軟體行為、對外可疑連接、挖礦行為、對外DDoS行為、DGA域名外聯、是主要的惡意行為方式。那麼我們如何通過現有手段監控到這些行為呢?

0x01、產品解決方案

我們假設你企業中有兩種三種監控部署手段:

1、只擁有網路層監控手段,這種監控方式容易部署,對客戶打擾最少。

2、只擁有主機層監控手段,這種監控方式在雲伺服器端部署方便。

3、同時擁有網路和主機監控手段,可以通過威脅建模的方式快速綜合研判。

那麼,我們先說第一種情況:網路層探測惡意軟體回連(Malware Callback)

經過技術調研,我們可以通過以下手段分析觀察:

1、傳統入侵檢測規則匹配引擎

2、自定義監控規則

3、威脅情報

4、AI異常檢測

5、沙箱動態行為分析

在通用的IDS引擎當中使用正則表達式對一些明文或者密文特徵分析後,設置到規則引擎當中,發現

1、這比較簡單就是部署一套NIDS設備對外的流量持續監控,通過商業規則監控。但是這種監控相對來多是比較固定的特徵,監控類型也比較有限,所以需要長期維護。

挖礦行為例如:

CoinHive In-Browser Miner Detected

對外DDoS上線信息:例如:Trojan.Linux.MrBlackDDoS,監控以下特徵:

VERSONEX:Windows 7|1|3066 MHz|1024MB|522MB|Hacker00

價值比較高的規則統計如下:

2、自定義監控規則:

要想實現這部分安全能力,需要配備強大的惡意軟體分析Team,收集全世界的惡意樣本,從樣本反編譯後對外連接的協議分析入手,當然也需要配合安全產品的自動化手段,對外聯的埠數據進行持續抓包的能力,然後匹配上線規則、攻擊指令、外聯通訊的一切特徵,當然,如果要是有加密的通訊也可以直接匹配,但是用戶看到抓包取證信息其實和很迷惑的,自身也無法判斷是否就是惡意行為。

持續抓包能力,如果沒有持續抓包能力,我們無法判斷攻擊響應是否成功。

勒索軟體外聯信息:Ransomware.Wcry.InfectionFail

GET / HTTP/1.1 Host: Cache-Control: no-cache

RAT獲取配置信息:Trojan.Nitol

GET /lls/tsctrl/controlhead.html?rand=1527748777 HTTP/1.1 User-Agent: IE Host: ud.liuliangshua.cn

RAT獲取配置信息:Trojan.Virut

GET /rc/ HTTP/1.1 Host: zief.pl HTTP/1.0 200 OK Server: Apache 1.0/SinkSoft Date: Thu, 31 May 2018 03:38:38 GMT Content-Length: 24 Sinkholed by CERT.PL

3、威脅情報

威脅情報的引入是給網路層態勢感知產品帶來新的活力,在雲環境通過以上兩種手段可以很好的監控雲內部的數據,但是我們對外聯目的地址的是數據一無所知,這時候威脅情報就派上用場了。

下圖是惡意外聯目標地址數據統計

從以上數據分析,可以看出主要是分兩大類數據,一類是直接用作入侵排查的數據:比如對外連接的殭屍網路控制器、挖礦地址、DGA域名,還有一類是對外可疑連接,代理、Tor、VPN、shadowsocks。這類可以做為入侵輔助分析數據。同時,威脅情報數據也可以和傳統的入侵檢測數據結合,產生更有價值的入侵排查研判結果。

4、AI異常檢測

其實針對威脅情報中的DGA域名識別、Tor、VPN、shadowsocks。也可以使用機器學習或者深度學習的技術手段檢測出來。DGA域名檢測是典型的機器學習使用場景,Tor、VPN、shadowsocks可以歸類為加密流量檢測。可以提取TLS特徵通過深度學習的方式檢測。當然底層引擎具備提供基礎數據的能力。

伴隨著網安等監管制度的完善,這部分的需求也會隨之增多,將來有可能在你觸網的任何網路部署:傳統運營商數據平面、3G/4G/5G移動網路平面、公有雲、政務雲

5、沙箱動態行為分析

通過IDS引擎還原下載到你網路內部的惡意文件,然後把它扔到沙箱中檢測,分析出其惡意行為後,研判其文件威脅級別。提供給用戶展示,這部分由於歷史文章描述比較多就不累述了。

0x02、總結與展望

本期主要講了網路層如何識別Malware Callback。大家可以結合自己的企業實際情況做入侵研判。希望對大家有幫助。主機層已經網路主機層聯動部分請聽下回分解。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

如何在內存中檢測惡意軟體
通過結構化異常處理繞過CFG

TAG:嘶吼RoarTalk |