摘要:一、网络空间战中的入侵溯源随着俄乌战争、哈萨克斯坦动乱等国际话题进入人们的视野,网络安全技术成为各国维护自身国土安全的“利刃”之一的同时也推动了各国重视和发展自身的网络攻防技术实力。 在攻防视角里,因为进攻方的目标明确,而防守方无从得知...
随着俄乌战争、哈萨克斯坦动乱等国际话题进入人们的视野,网络安全技术成为各国维护自身国土安全的“利刃”之一的同时也推动了各国重视和发展自身的网络攻防技术实力。
在攻防视角里,因为进攻方的目标明确,而防守方无从得知进攻点会落在何处,所以进攻方会占据较多的主动性,而防守方则略显被动。作为防守方,很难知道攻击会在什么时候发生。在攻击发生的中、后期阶段,防守方如果没能及时发现、无法及时修复漏洞并加固系的话,攻击者很有可能会发起二次攻击,进一步加大后续修补的难度,导致用户经济损失加剧。
面对攻防敌我位置不明朗的环境,入侵溯源则能通过系统性地分析受害资产与内网流量,对所有受害资产上存在的异常的行为做整体分析,根据实际攻击环境给出溯源方案。及时发现受害资产上存在的组件零日漏洞、掌握更多的攻击者指纹信息,有效遏制二次攻击带来的伤害。
传统的入侵溯源都是通过手动实现的。在手工入侵溯源过程中,寻常的攻击手段都是能通过系统上的各种日志上找出,比如:异常登录、异常账户、网页篡改、系统文件加密、系统密码变更、系统运行时卡顿或是影响整个业务等等。虽然能通过流量日志、系统日志以及网站日志溯源到攻击者IP、域名等指纹信息,但日志分析员得花费大量的时间与精力,且找到的信息少得可怜。
相比之下,不寻常且不易被记录到日志的攻击方法已然成为网络攻击的主流。许多黑客在定向攻击的入侵前都会做充足的信息收集,攻击者会判断目标使用何种网络、服务器架构以及组件,正常网络通信流量、服务器在处理正常业务时会触发何种能与攻击相吻合的操作,比如:使用非交互的命令执行、根据目标架构特性植入的内存马、利用系统白名单程序绕过检测规则等等。要想捕捉此类的攻击,仅仅依靠系统日志就想看出端倪的话,往往是一无所得。而要追踪攻击者的入侵痕迹、溯源攻击链更是难上加难。
在攻防演练趋于常态化的当下,“以攻促防”的新观念也在逐渐普及。然而,网络安全的本质在于对抗,对抗的本质是在攻防两端能力较量。
用户在面对日常业务系统安全的维护或者特定时期的大型攻防演练期间,经常面临以下几种入侵场景:
溯源解析:在入侵过程中,使用反弹shell、远程下载恶意文件、端口转发等方式,将会触发威胁告警,且会记录这个域名/IP,提供一个反向信息收集和渗透测试的路径。
溯源解析:很多蠕虫病毒的传播方法都只是依靠暴力破解或命令执行类的漏洞进行传播,这种简单粗暴的攻击手段往往是最有效果。常见的几种病毒如:XorDDOS、DDG、XNote系列,普遍也是依靠暴力破解进行传播。
溯源解析:对于webshell的溯源,大多都是通过网站日志和流量日志溯源到攻击者真实的IP地址,但大量的网站日志和流量日志将会导致溯源无从下手。先通过入侵扫描检测功能理清攻击者存在有多少个IP,再通过检测webshell后续的操作,从进程和流量的角度,分别找出攻击者执行了何种高危命令、攻击者的真实IP。
通过对比2018年到2020年期间的安全隐患排名变化,以及分析攻防演练期间的失分点“重灾区”,可以发现,内网隐患占比最大、危害最大。在开展(云)主机安全防护工作之前,了解入侵者是如何入侵的,才能事倍功半地做好防护措施。因此,将入侵溯源模型融入(云)主机安全防护管理则很有必要。
云眼作为受到Gartner、IDC等国内外权威机构认可的(云)主机安全产品,在新版本中也内置了“入侵溯源模型”,能有效支撑云眼的溯源功能。
图1
云眼溯源分析模块通过内置溯源模型规则,与告警数据进行自动化匹配,还原黑客入侵轨迹,有利于用户及时针对入侵路径里包含的漏洞、风险点等进行修补,避免二次入侵的发生。
通常,入侵溯源工作需要“知己”,了解异常服务器部署的业务情况和技术框架、异常服务器的网络是否处在DMZ区、是否开放有公网访问、开放了哪些端口、系统补丁修复情况、最近是否有过什么资产变更等等。另外,入侵溯源工作需要“知彼”,需要有大量的真实攻击数据建立场景模型。
在开始建立溯源模型前,需要先有建模前的两个准备工作:
在做好这两个建模前的准备工作后,需要通过以下几个步骤来确立溯源模型:
常见的一些攻击入口点举例如下:
1.针对不同web应用的EXP,比如远程代码命令执行、逻辑漏洞等通用性强且应用范围广的攻击载荷;
2.应用的功能过滤不严格,比如图片上传界面的过滤不严格导致的上传漏洞或是注入漏洞;
3.系统弱口令问题,比如管理员权限账户存在弱口令;
4.系统漏洞或应用(三方软件)漏洞未做及时的更新与修复;
5.蠕虫病毒。
常见的一些攻击行为举例如下:
1.可疑C&C连接行为。
2.拒绝服务攻击行为。
3.恶意软件、恶意病毒行为。
4.零日漏洞利用攻击行为。
通过这些步骤,云眼可为用户建立起有效的溯源模型,让每一入侵者的“蛛丝马迹”原形毕露。
通过新版云眼中一键溯源、定时溯源、主机杀伤链视图、主机关系图、时间滑块、手动溯源等多个功能,用户能多维度地做好主机入侵安全防护。
图2
结合支持手动溯源功能,可对具体的告警时进行研判与处置操作,溯源数据支持生成溯源报告一键导出。用户未来主机安全防护有数据可依,有处置方法可用。
通过入侵溯源在主机安全的落地与实践,有利于用户更好地定位攻击者,提升后续的修复漏洞与系统加固效率。安全狗云眼新版本中也具备更多新功能,希望借此提升千行百业用户的攻防思维,为云安全提供更加全面的防护与处置响应。
疫情期间居家远程办公
遭受黑客攻击、漏洞频出、内网应用数据泄露等问题?
安全狗重磅发布零信任云安全远程接入解决方案
可帮助用户解决以上系列远程办公安全问题
- END -