长亭百川云 - 文章详情

攻防实战中的溯源分析之道

青藤智库

73

2024-07-13

溯源分析可以揭示攻击者在网络中的行动路径,通过分析攻击过程中的各个环节,包括入侵点、传播方式、横向移动路径等,可以了解攻击者是如何进入系统、获取权限以及传播恶意活动的。

高质量的溯源分析可以为安全团队提供足够的信息,帮助其理解攻击的威胁程度、影响范围,制定更加高效精准的应对策略。

数据准备

数据是溯源的基础**,**为溯源提供关键的线索和证据,帮助确定攻击事件发生的时间、地点、方式以及涉及的系统等信息。溯源分析需要的数据包括网络流量数据、用户审计数据、主机行为数据以及其他一些数字证据。

•  网络流量数据**:**网络流量数据记录了网络传输的信息,包括通信的源头、目的地、协议、端口等。通过分析网络流量数据,可以确定攻击者的IP地址、攻击入口、攻击方式等重要信息。

•  用户审计数据**:**在一些可能涉及到用户的身份或行为的攻击事件中,通过分析用户审计数据,如登录日志、操作记录等,可以判断是否存在内部人员的参与或追踪到特定用户的活动轨迹。

•  数字证据**:**数字证据包括被攻击的文件、恶意软件的样本、攻击者留下的痕迹等。通过对这些数字证据进行取证、分析和比对,可以找到与攻击事件相关的关键线索,从而帮助溯源行为者或源头。

伴随着0day漏洞、社工、加密流量、内存马等攻击方式的日益猖獗,常规的网络、用户日志在溯源分析过程中提供的信息支持往往捉襟见肘,而主机行为日志因为揭露了攻击的本质特征,其重要性日益凸显。

主机行为日志主要包括进程活动日志、驱动模块活动日志、磁盘文件活动日志、主机网络连接日志、注册表活动日志、账号活动日志,另外还包括计划任务、特权服务、策略调整、命令执行等活动记录。

但日志并不是越多越好,数据爆炸反而会给溯源分析带来更多噪声干扰和成本压力,常见的做法是采集这些日志中最关键的那部分,例如:进程创建、网络连接、DNS解析、用户登录、账号变更、命令执行等。

工具准备

**工具是溯源效率的保障。**在攻击发生后,存在12小时的溯源黄金时间,拥有高效的溯源分析工具,才能在与攻击者赛跑的过程中抢占先机。溯源分析需要的工具包括日志分析工具、流量分析工具、软件分析工具、数字取证工具、威胁情报系统以及一些解码解密工具。

**•  流量分析工****具:**常用的流量分析工具包括Wireshark、Tcpdump、Bro/Zeek等,一些商业流量分析平台也经常会提供类似能力。

**•   软件分析工具:**软件分析工具常用于检测、分析和处理恶意软件样本,从中提取相关信息,如攻击者的行为、通信方式,一般包括静态扫描解析和动态执行监视两种方法,常用的例如Malwarebytes、Cuckoo Sandbox、IDA Pro等。

**•   数字取证工具:**数字取证工具可以帮助提取关键数据、分析文件结构、还原被篡改的信息,常用的数字取证工具包括EnCase、Forensic Toolkit(FTK)、Autopsy等。

**•   威胁情报系统:**威胁情报系统可以帮助溯源分析人员快速获取有关网络攻击者、恶意软件、漏洞的公开信息,包括AlienVault OTX、MISP(Malware Information Sharing Platform)等。

**•   解码解密工具:**解码解密工具可以帮助分析人员还原加密、编码或混淆过的数据,以获取关键信息,常用的例如CaptfEncoder、cyberchef等。

在这些工具当中,日志分析工具对效率的影响是决定性的,日志串联了整个安全事件过程中最关键的线索及行为过程链条,而其他工具是调查过程中的辅助性作用。

日志分析工具应当可以针对某个具体告警,快速调起告警发生前后的上下文日志,并提供便捷的搜索匹配分析能力,同时能将日志中的关键证据和线索提取出来,从而将告警、线索、事件形成有机整体。

此外,日志分析工具应该提供从空间视角和时间视角的可视化呈现,让溯源分析人员和安全负责人能够清晰、清楚看到当前事件的攻击态势。

人员准备

**人员是溯源质量的根本。**经过训练的安全服务人员,往往具备清晰的溯源调查思路和深厚的安全领域知识。溯源调查的思路一般分为4个阶段,总结成大白话就是,从哪来,到哪去,还有谁,刻个碑

•   第一步:搞清楚攻击者从哪来,通过从网络空间的内部逐层向外排查,一直追踪到互联网入口或其他边界,确认攻击者的来源,并在边界进行封堵,切断其进出通道。

•   第二步:对攻击者每个落脚点进行行为分析,确认其在据点上发生的具体行为,识别攻击意图,判断是否有向其他系统的进一步渗透或移动。

•   第三步:提取攻击者留下的数字证据或行为特征,在内网其他主机上进行行为回溯,研判是否在其他点位有类似攻击行为和线索。

•   最后:将该攻击者的行为特征收敛为规则,加入狩猎模型,俗称立碑,预防其通过其他入口再次突破。

安全领域知识是溯源分析的基本功,这块和其他所有的行业一样,遵循3600小时法则,无他,唯手熟耳。

但是ATT&CK作为安全领域的框架和知识库,其总结的攻击组织、攻击载荷、攻击技战术分析,确实可以帮助我们更好地理解攻击者的行为和策略,从而提高溯源分析的能力和水平。

同时,其提供的日志检测说明,也能让我们更深刻地认识到攻击者行为和日志之间的联系,写出更加优雅、精准、高效的狩猎模型。

写在最后

最后的准备,其实是心理的准备,这一点至关重要。攻防的本质是人与人的对抗,既是技巧技术的比拼,也是生理心理的博弈,保持警觉,不过度紧张,保持耐心,不心存侥幸。

预祝各位在攻防实战中都能大展身手,屡立新功。

关于作者:

Hunter:青藤平台产品事业部-主机安全事件调查及狩猎专家,云安全一线作战指挥员、战斗员。

-完-

热门动态推荐

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2