終端保護解決方案或入侵檢測系統(tǒng)(IDS)可以基于啟發(fā)式方法、特征碼以及新解決方案中的人工智能來檢測惡意事件。它們通過電子郵件、Syslog、Webhooks或其他方式生成警報。然而,有效地分析這些警報消息的根本原因,以識別和響應潛在威脅,需要先進的工具和方法。
本文探討了IOTA網(wǎng)絡流量捕獲和分析解決方案如何使安全專業(yè)人員能夠分析IDS警報消息,從而全面提升網(wǎng)絡安全。
一、流量捕獲
第一步是捕獲受影響的流量。使用IOTA捕獲網(wǎng)絡流量有兩種選擇:內(nèi)聯(lián)(in-line)或通過SPAN連接。如果我們已永久部署IOTA,可以在警報出現(xiàn)后立即對流量模式進行回溯分析。IOTA在網(wǎng)絡中的放置位置必須根據(jù)預期應用決定。
二、流量分析
我們的分析過程取決于消息是來自終端檢測與響應(EDR)系統(tǒng)還是入侵檢測系統(tǒng)(IDS)。因此,我們描述了分析安全警報的各種方法。
三、尋找“零號病人(patient zero)”
名詞解釋:在網(wǎng)絡安全領域,“Patient Zero”(零號病人)是一個重要的概念,用于描述首次感染惡意軟件或病毒的用戶或設備。其識別和防御對于控制惡意軟件的傳播至關重要。
回溯分析的第一步是選擇所需的時間窗口。我們可以在IOTA界面的右上角區(qū)域中選擇絕對時間窗口(從某個時間到另一個時間)或相對于當前時間的時間窗口。時間窗口應盡可能限制,以簡化后續(xù)分析。
圖 1:在 IOTA 面板上應用相對或絕對時間過濾器
我們從受影響的主機開始搜索攻擊者。讓我們從首次檢測到攻擊或異常行為的主機開始,找到所謂的 “0 號病人”,并相應地限制時間窗口。
如果是已知攻擊,則可以專門搜索通信模式,如特定目標端口。我們還以此為例。我們假設一個文件服務器受到勒索軟件攻擊,該服務器通過網(wǎng)絡中的服務器消息塊(SMB)提供服務。服務器的 IPv4 地址是 192.168.178.6。
我們知道 SMB 在 TCP 端口 445 上運行,因此我們對該目標端口進行過濾。這表明,在加密時間窗口內(nèi),只有 192.168.178.22 客戶端與文件服務器建立了 SMB 連接。
圖 2:按目的地端口 445 和 IP 地址 192.168.178.6 過濾的視圖。流量圖也經(jīng)過過濾
在這里,我們使用過濾器 “IP_SRC = 192.168.178.22 ”來檢查客戶端 192.168.178.22 不久前建立了哪些通信關系,并明確是命令和控制流量還是下載流量。
在此之前,只有一個通信關系離開了內(nèi)部網(wǎng)絡,具體來說,是一個在目標端口 443 上使用 TLS 的 TCP 連接,即 HTTPS。在這里,我們使用 IOTA 的下載功能下載了整個數(shù)據(jù)流和相應的數(shù)據(jù)流?,F(xiàn)在,我們可以檢查客戶端 hello 中的 TLS 擴展服務器名稱指示 (SNI),以明確客戶端使用哪個主機名建立連接。
圖 3:概覽儀表板上的流量列表。我們可以將其下載為 PCAPNG 格式,詳細查看特定流量,或通過選擇 “+”符號進行包含過濾,或選擇“-”符號進行排除過濾
由于 TLS 加密,下載本身無法以純文本形式識別,因此必須在日志文件中對客戶端進行進一步分析。這表明用戶下載并安裝了一個惡意程序,然后通過分析的 SMB 網(wǎng)絡共享對文件進行加密。
這些步驟為我們提供了導致攻擊的 IP 地址、主機名和文件。不過,在某些情況下,下載惡意軟件的服務器只是攻擊者的 “前端服務器”,它們也會不時發(fā)生變化。
不過,由于網(wǎng)絡中的橫向移動在攻擊事件中通常是可以識別的,因此還應檢查其他客戶端,因為受影響的客戶端可能已經(jīng)分發(fā)了惡意軟件。如果在受影響的客戶端上無法識別外部通信關系,則應檢查所有內(nèi)部通信模式,看是否有異常情況可能將惡意軟件帶到客戶端 192.168.178.22。
要首先識別該主機與哪些遠程站進行過通信,我們可以進入 “概覽 ”儀表板,然后單擊流程圖中的 IP 地址。然后,IOTA 會對點擊的 IP 地址應用帶有源地址和目標地址的 IP 過濾器。
圖 4:通過 IP 地址過濾并查看捕獲的流量
在這幅圖中,我們可以看到兩個流量。我們隨后可以識別出幾種基于 IPv4 的通信模式。在示例中,主機與其他六個地址通信,其中一個是廣播地址 (255.255.255.255),192.168.178.1 是網(wǎng)關。我們還可以看到組播地址 224.0.0.251 和 239.255.255.250。這樣就只剩下 192.168.178.6 和 192.168.178.25。由于 192.168.178.6 本身就是文件服務器,我們可以認為 192.168.178.25 是唯一的其他主機。
通過對 192.168.178.25 進行過濾,我們可以調(diào)查與該 IP 連接的所有通信模式。如果只有一個流向 192.168.178.22,我們就可以認為 192.168.178.25 是零號病人。
四、ARP 欺騙
在下面的示例中,客戶數(shù)據(jù)中心網(wǎng)絡 IDS 報告了一次 ARP 欺騙攻擊。IDS 告訴我們,IP 地址 192.168.178.21 受此攻擊影響。我們需要獲取攻擊者的 MAC 地址,以便在網(wǎng)絡中搜索攻擊者所在的交換機和相應端口。
客戶數(shù)據(jù)中心 IP 網(wǎng)絡是靜態(tài)尋址的,因此我們只能看到 IP 和 MAC 地址之間一對一的映射。我們進入本地資產(chǎn)儀表板,使用 IOTA 調(diào)查此 IDS 警報。
圖 5:導航至本地資產(chǎn)儀表板
然后,我們可以通過執(zhí)行過濾規(guī)則 “IP_SRC = 192.168.178.21 ”來過濾源 IP 地址。我們可以在 “客戶端清單列表 ”下看到兩個 MAC 地址。MAC 地址 14:1A:97:9E:AC:D5 是原始 Mac 地址。因此,攻擊者的 MAC 地址為 60:3E:5F:36:2B:5B,如下圖所示。
圖 6:我們可以看到關于 IP 地址 192.168.178.21 的兩個 MAC 地址。因此,我們擁有兩個 MAC 地址
現(xiàn)在,我們已經(jīng)掌握了在網(wǎng)絡上搜索交換機上攻擊者定位所需的全部信息。
五、TLS 降級
另一個例子是,我們連接到 TAP 的 IDS 系統(tǒng)生成了 TLS 降級攻擊警報信息。受影響的公司策略只允許 TLS 版本 1.2 和 1.3,因此我們需要調(diào)查哪些主機正在使用 TLS 版本 1.0 或 1.1。為此,我們導航到 SSL/TLS 概述儀表板。
圖 7:導航至 SSL/TLS 概述控制面板
在 SSL/TLS 總覽儀表板上,我們可以看到使用 TLS 1.1 或 1.0 的不安全配置,以及 SSL/TLS 服務器的配置欄。
如下圖所示,我們可以通過 “TLS_SERVER_VERSION < TLSv1.2 ”進行過濾,只獲取不安全連接。在這里,我們有一臺 IP 地址為 192.168.178.6 的服務器,它的 TLSv1 和 TLSv1.1 已激活,我們有 160 個流量受到不安全傳輸加密方法的影響。我們現(xiàn)在知道,只有這臺服務器會受到這種攻擊的影響。
圖 8:帶有不安全 TLS 版本過濾器的 SSL/TLS 總覽儀表板
之后,我們要調(diào)查該服務器是否也啟用了安全版本。在 SSL/TLS 總覽控制面板上,我們創(chuàng)建了 “IP_DST=192.168.178.6 ”過濾器,以便根據(jù)受影響的目標 IP 地址進行過濾。我們可以看到,該服務器也啟用了 TLSv1.2 和 TLSv1.3 安全版本。因此,我們可以認為該服務器受到了 TLS 降級攻擊的影響。
圖 9:SSL/TLS 概述儀表板,顯示 IP 地址 192.168.178.6 提供的所有 TLS 版本
六、端口掃描
我們的下一個安全事件由終端保護生成。IOTA 可以識別端口掃描并清除產(chǎn)生掃描的主機。因此,我們需要導航到 TCP 分析儀表板。
圖 10:導航至 TCP 分析儀表板
在 “TCP 分析 ”面板上,我們可以過濾 “不完整的 3 路或無數(shù)據(jù)(Incomplete 3-way w/o Data)”。這有助于我們將所謂的 TCP 半開啟作為不完整三向進行檢查。
TCP 半開放有助于識別發(fā)送 SYN、等待 SYN/ACK 并保持握手開放的攻擊者。攻擊者可以在不通過 ACK 完成 TCP 握手的情況下獲得開放端口的信息。某些情況下會顯示握手數(shù)據(jù)而不傳輸數(shù)據(jù),這表明端口掃描。
圖 11:帶有源 IP 地址和目標 IP 地址過濾器的 TCP 分析儀表板,以及我們的指標 “不完整 3 路 ”和 “無數(shù)據(jù)”
七、為記錄目的導出數(shù)據(jù)
有時,需要導出捕獲的數(shù)據(jù)以進行徹底的取證分析或進一步調(diào)查。這一過程可按需或主動執(zhí)行,確保我們不受 IOTA 存儲容量的限制。
我們可以導航到左側(cè)菜單中的 “IOTA 數(shù)據(jù)庫 ”選項,以方便進行此操作。隨后,我們可以進入 “捕獲導出”,選擇首選協(xié)議,即 WebDAV 或 FTP。單擊 “應用 ”啟動導出流程,即可配置憑證和錯誤處理。按照該協(xié)議,捕獲的數(shù)據(jù)將以 PCAP 文件的形式上傳到指定的服務器,每隔三十秒上傳一次。
圖 12:定期導出到 WebDAV 服務器
IOTA 固態(tài)硬盤上的所有捕獲數(shù)據(jù)都可以作為 PCAPNG 文件在 IOTA 數(shù)據(jù)保險庫的 “捕獲文件 ”部分進行訪問。IOTA 每三十秒生成一次新的 PCAPNG 文件。我們可以按開始時間選擇所需的數(shù)據(jù),然后點擊下載。下載捕獲文件后,我們可以根據(jù)需要在 Wireshark 中分析有效載荷。
圖 13:選擇并下載 PCAPNG 文件,以便在 Wireshark 中進行進一步研究
結(jié)論
IOTA 允許靈活的網(wǎng)絡集成和捕獲選項,以便對安全警報做出反應。捕獲可以在報告警報后按需進行,也可以作為永久滾動捕獲進行。
建議采用永久捕獲方式,以便在警報發(fā)出后立即提供所需數(shù)據(jù)進行分析。
流量可以簡單地導出為 PCAPNG,然后在需要時導入進行分析。IOTA 使我們能夠使用提供的儀表板快速有效地分析惡意通信模式。靈活的過濾器組合和深入分析選項可加快根本原因分析。
審核編輯 黃宇
-
IDS
+關注
關注
0文章
27瀏覽量
16152 -
網(wǎng)絡安全
+關注
關注
10文章
3155瀏覽量
59699 -
Iota
+關注
關注
0文章
28瀏覽量
8387
發(fā)布評論請先 登錄
相關推薦
評論