极其细微的危险隐藏在身边
关键词:流量分析 回溯分析 异常行为 高级攻击
新型网络攻击手段层出不穷,针对0day、社工攻击高级威胁,传统防御无法应对。依靠特征匹配技术检测分析,如果没有原始流量存储,无法分析攻击行为和历史记录。
同时,一旦防御体系被绕过,就难以发现潜在的威胁,更无法看清威胁的影响范围。
尽管有些用户部署了态势感知或安全日志分析系统,但仍旧无法看到网络中部分真实的情况,因为这些系统显示的内容已经属于被加工过滤的数据。
本文介绍一起真实的分析案例。
事件背景
某企业网络核心交换机部署NetInside流量分析系统,实时监测和分析业务系统运行状况,回溯分析异常事件,遇到疑难杂症时取证分析。
某天凌晨5点多,运维人员接收到系统告警,内容是“内部服务器出现非法外连”。
运维人员当天对该事件进行了分析,以下是分析过程。
端倪初现
打开分析系统,在安全分析界面,查看服务器非法外连信息。
发现服务器114.112.x.x于当天出现了2次成功外连。而已知的信息为,这台服务器每天13点钟会自动发生一封邮件到互联网。
从下图看到,6点前和13点各出现了一次成功外连,后者已知,前者未知。
这里的确出现了一次未知外连信息。
追根溯源
使用非法外连图和追踪图,详细查看连接信息。
非法外连图分析
非法外连图,提供直观的可视化图像,能够看到这台服务器成功连接的对象。
在这台服务器上右键,选择“非法外联图(外连成功)”。
在打开的视图中,看到这台服务器分别和2个IP成功建立了连接,连接次数分别为1次。
外连追踪图分析
非法追踪图,能够钻取查看这台服务器成功连接的对象,以及与每个对象的通讯端口信息。
在这台服务器上右键,选择“外联追踪图(外连成功)”。
在打开的视图中,看到这台服务器和2个IP成功建立连接的端口(应用)分别是HTTP和SMTP。
水落石出
通过追踪图看到,连接端口为SMTP的行为是已知,而HTTP端口的是未知行为。需要对后者深入分析。
在非法外连分析界面,点击这台外连服务器,可以看到其成功连接的IP地址信息。
在成功连接的IP列表中,选择未知的HTTP连接主机,右键选择“流量详细分析”,如下图。
在流量分析页面,看到5点48分左右,该服务器与另外一个IP之间的数据通讯信息,两者之间共传输了436字节。
与此同时,调整系统显示时间,查看过去一段时间内,是否有这个外部IP地址的流量信息。
以下是过去一周时间段,这个地址只出现了一次流量传输。
下载传输数据包,打开分析。
下图看到了2者之间只有5个数据包的传输,三步握手后,外连服务器发送GET,对方RST。
大胆猜想
上述分析,看到了一起正常的通讯现象,虽然是极为隐蔽的一个连接,5个数据包,436字节的报文传输。
但是,需要推测,为什么会这样。
这是一台服务器,不会有人主动发送HTTP GET请求,尤其在凌晨5点多。然后出现真实的流量信息和访问行为。
下面是咨询安全专家的对话情景,毛骨悚然。
最后的话
所有的网络行为都会留有网络痕迹,全流量分析体系的魅力就在于不会放过任何一个细节。
隐藏的越深,危险就会越大。