一个案例,分析攻防演练中威胁溯源的正确姿势

缠丝猫  金牌会员 | 2024-6-26 23:27:30 | 来自手机 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题

主题 670|帖子 670|积分 2010

一年一度的攻防演练即将拉开帷幕。“威胁溯源”不绝是演练运动中一个非常重要的工作项,它不仅有助于明白和分析攻击的来源、方法和动机,还能够显著提拔整体安全防护水位,提拔组件与人员的联动协作本领。在真实的攻击场景中,溯源工作还能造成对攻击者的威慑,进一步净化网络安全空间。
网宿作为重要的底子设施服务提供商,参与了多次各种类型和级别的攻防演练,同时也作为服务商为客户提供攻防演练保障服务,包罗防御、监控、溯源和应急相应等,保护客户网络和系统安全,帮助客户发现毛病、改进安全步伐、提拔应对真实威胁的本领。
下面,我们将从一个溯源案例说起,分析攻防大战中“威胁溯源”的正确姿势,渴望能够为读者提供一些思路,也预祝大家在演练中都能取得优异的结果。
案例纪实

在某次攻防演练期间,网宿安服团队在为客户开展安全运维保障工作的过程中,发现219.*.*.247非法攻击IP。219.*.*.247对客户的多个域名举行多种Web攻击尝试,攻击行为已被WAF拦截并记载,同时该IP在客户官网注册账号,试图登录多个客户方站点进一步攻击。网宿通过联动分析两个系统的日志,终极溯源到攻击者的真实身份。


  • WAF日志监控到非常攻击行为
安服团队成员起首通过网宿WAF产品攻击日志监控到非常攻击行为。WAF监测到从早上9点开始北京地区IP 219.*.*.247针对大量客户域名的Web攻击行为,而且触发了多类攻击规则,这些客户方站点均已上WAF举行攻击行为的监控记载及拦截。


图1 219.*.*.247攻击日志




  • 登录日志监控到非常登录行为
在WAF监测到非常攻击的同时,网宿安服团队成员通过客户单点登录认证系统日志监测到该IP有登录客户方站点(官网,控制台)的行为。所使用的账号“wenhu”经后期分析确认是攻击者个人注册使用的账号,同时,我们还查询到该IP在使用wenhu登录之前还使用过1、test、admin这些可疑账号尝试登录。结合WAF记载到的大量攻击请求行为,判定该IP行为高度恶意,锁定到恶意账号wenhu。


图2 219.*.*.247非常登录日志




  • 深入分析WAF日志定位入侵点&应急相应
然后我们对WAF日志深入分析定位入侵点,以及举行应急相应。起首与负责对接此次攻防演练的客户方安全部门接口人协作,针对该IP和账号在网宿环球边缘节点及客户本地界限防护设备和应用系统举行全面封禁,制止进一步的入侵。同时我们深度分析该IP在WAF上的日志,发现该IP针对某客户站点的登录页面有大量访问尝试,而且使用了非常的UA,包含java和版本,怀疑该站点的登录入口存在java类毛病可以被利用。团队分析研判组人员进一步排查到该网站使用shiro框架,尝试举行毛病利用成功。


图3 219.*.*.247 WAF攻击日志

接着网宿侧迅速将此次事件反馈到本次攻防演练的协作群举行站点归属确认,并找到该站点相关的运维管理员,登录服务器举行应急排查,发现网站使用shiro框架且存在毛病,于是立刻关照管理员举行修复,然后检查利用成功的操纵行为记载和已摆设的HIDS的告警记载确认服务器是否有入侵痕迹,所幸未发现攻击者显着入侵成功的痕迹。当天客户运维方完成毛病修复,分析研判组举行修复验证,确认站点已不存在毛病。


  • 攻击者溯源
经了解,客户官网注册必须使用真实存在的手机号吸收验证码,我们通过客户方背景账号管理系统查询到wenhu账号的注册手机为189******24,运营商归属为北京电信,该真实手机号和攻击者的IP都在北京地区,因此判定该手机号很可能为攻击者真实使用的手机号。我们进一步通过社工库、各种社交网站/APP、互联网信息流派等渠道举行综合查询,定位到人员真实姓名及其位于北京的住址。


图4 219.*.*.247攻击者溯源


小结:实战练习期间的溯源要点

每个公司的应用系统、构造架构、团队工作模式均有差别,在实际的攻防演练场景中,溯源工作流程及方式也不尽雷同,但大概率都会经历以下这5个阶段:
1、检测阶段:这一阶段的目的是辨认网络或系统中是否存在安全事件或攻击运动,通常通过监控日志文件、网络流量、安全工具告警来实现。
2、相应阶段:在确认安全事件或攻击之后,立刻采取行动以最小化损害,保护关键资产,隔离受影响的资产防止进一步扩散,应急相应正是在这个阶段执行。
3、分析阶段:包罗收集和分析相关证据。收集所有与安全事件相关的数据。这包罗但不限于日志文件、网络流量、入侵检测系统(IDS)/入侵防御系统(IPS)/防火墙/网络流量分析(NTA)/ Web应用防火墙(WAF)/ 安全访问服务边缘(SASE)/防病毒软件/端点防护(EDR)/主机入侵检测系统(HIDS)等安全工具告警、恶意样本以及任何可以提供攻击线索的信息。在收集到充足的数据后举行更深入的分析,以辨认攻击的特性和模式,确定攻击者可能利用的毛病、攻击伎俩、恶意样本类型等。这个过程可能涉及到网络流量深度分析、日志文件具体审查、恶意样本逆向工程等技术。
4、溯源阶段:主要包罗确定攻击源、追踪攻击路径和归属分析。基于深入分析的结果,尝试辨认具体的攻击源。这可能包罗辨认攻击者使用的IP地点、域名、服务器位置、或者其他可以指向攻击者身份的信息。这一步调也可能非常复杂,因为攻击者可能会通过署理网络、域前置、僵尸网络等方式来隐藏本身。确定攻击源后,下一步是追踪攻击的路径。这包罗确定攻击者是如何进入网络的,他们访问了哪些系统,以及他们是如何从初始入侵点向其他系统扩散并举行访问权限的扩展的。归属分析是尝试将攻击归属于特定的个体、构造或国家。这可能涉及到分析攻击的动机、使用的特定工具或技术、行动模式、以及任何可能与之前已知攻击相匹配的指标,而且常常涉及到大量推测,因为攻击者往往会通过各种本领来隐藏其真实身份。
5、处置阶段:主要包罗系统和服务的恢复、毛病修补和系统加固,根据溯源了解到攻击行为模式制定有效的防御步伐和应对策略来防止将来类似的攻击,以及编写并提交具体的溯源报告,总结溯源过程中的发现、分析结果和推荐的应对步伐,通告报告以提高构造的安全意识。


图5 攻击溯源流程图

威胁溯源就是与攻击者斗智斗勇的过程,非常考验安全人员的分析研判本领和信息收集本领,我们认为,一次成功的溯源,少不了这几个关键要素:
1、具体的日志记载:利用系统和网络设备的日志文件来追踪攻击者的运动。这要求防守方必须有良好的日志管理和分析本领。可以借助安全工具的日志和告警获取攻击发生前后的具体信息,包罗但不限于IDS/IPS、防火墙、NTA、WAF、SASE、HIDS、EDR等。比方上述两起溯源案例中,网宿WAF都具体记载了网络攻击及拦截日志信息,客户业务系统登录日志也具体记载了各账户的登录时间和结果。
2、深入的网络流量监控和分析:及时监控进出网络的数据流量,分析非常流量,辨认潜伏的攻击行为,比方上述溯源案例通过精密监控WAF日志开端发现攻击行为并对非常网络流量举行深入分析,包罗但不限于源IP地点、端口、协议、请求头特性、及其它传输层特性,这可以帮助辨认攻击的路径和方法,云云前分析出的非常的UA头帮助定位攻击者利用java类毛病入侵。
3、丰富的威胁情报:有效利用威胁情报可以帮助辨认攻击者的身份、使用的技术、工具和底子设施。包罗但不限于利用外部威胁情报数据库,与其它构造或安全机构共享威胁情报,利用社工库,利用各种互联网资源查询等。比方在每年的演练期间,网宿安全的客户均能够收到网宿安全平台同步的攻击队IP情报及高危毛病情报,情报来源于网宿平台上百家参与练习的客户的攻击样本,颠末网宿安全团队分析研判,确认其恶意程度,并及时通过API或邮件共享给客户。这些情报具有极高的应用代价和准确度,能够帮助演练客户尽可能地消除攻防对抗中的信息差,举行事前防护。
4、专业的溯源工具和技术:应用专业的溯源工具和技术,如反向DNS查询、IP地点地理位置查询、网络探针和蜜罐技术等,可以为溯源提供更多线索,帮助确定攻击者的位置和身份。
5、高效的跨团队协作:包罗防守方团队内部各组间的紧密协作,比方监控组、分析研判组、应急相应组之间的高效协作;也包罗防守方团队与构造内部其它团队间的协作,比方上述案例中的信息技术部门和业务运维方;可能还包罗防守方团队与外部构造间的协作,如与其它安全团队或安全研究机构合作。团队间高效的沟通和协作,能够提高溯源的速度和成功率。
6、丰富的应急相应经验:丰富的应急相应经验能够帮助快速辨认攻击特性和模式,如高效利用各种取证、分析工具快速从大量攻击数据中提取出攻击特性,辨认出隐藏的攻击行为,通过样本分析定位出样本家属、C2和攻击团伙。

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

缠丝猫

金牌会员
这个人很懒什么都没写!

标签云

快速回复 返回顶部 返回列表