为期15天的项目结束了,今年是参加这种项目的第五年,每一年接触的工作内容都不一样。今年从设备运营和人两方面总结下,项目期间基本上都会用到流量类、终端类检测设备。终端检测类设备产生的告警相对好分析些,通常告警的是文件,因此只要结合行为和文件本身分析判断下就知道是否是真实攻击。流量侧产生的告警就没那么容易分析了。下面就简单说下期间遇到的问题以及一些破局思路。
流量设备一般会对三部分流量做识别。
一是外对内,即互联网侧到dmz区的流量,这一部分关注的往往是漏洞,今年也爆出来了很多0day/1day,面对这些漏洞如何在第一时间判断业务有木有被入侵,存在一定的难度。首先设备并没有明确的漏洞检测规则,其次被动发现0day往往是依托其他设备产生的告警一步一步分析出来的。因此要降低这部分漏洞的影响,有一个解决方法就是前置狩猎,在攻击者漏洞利用初期就捕获到该行为。不管什么漏洞最终的目的是为了拿入口权限,针对web应用拿权限的最简单的办法就是文件上传和命令执行。因此可以着重关注这两部分的流量。比如文件上传告警,关注上传文件名称是脚本文件(asp(x)、jsp(x)、php)和服务器响应提供包含脚本文件后缀(asp(x)、jsp(x)、php)。命令执行类告警可以关注主机外联DNSLog和请求头。还有就是webshell流量,这里说一句口诀,同一带后缀的url多次请求返回的content-length值不一样,那么这个url比较可疑。
二是内对内,即内网主机间的流量,这一部分告警最难分析,正常业务触发的告警、内部测试产生的告警还有真正的攻击流量等等多部分流量混杂在一起,要想筛选真正的告警流量比较困难。笔者今年是深有体会,远程运营客户的流量设备,前期耗费大量时间梳理正常业务IP。这里说两个场景吧,一个是frp内网穿透,这个工具不仅黑客在用,而且有些正规软件也在用。因此设备上产生这种告警,首先要分析下IP的属性,判断到底是黑客所为还是正常软件。比如34.212.174.147、202.63.172.195这两个的IP,从流量内容看确实和frp通信无异。但是实际上是gradio和某播放器的连接IP。另外就是命令执行类流量,业务正常部署或者运维在TCP流量中可以看到明文命令,这一步分告警比较难处理,得分析IP的前后上下文才知道是不是可疑操作。因此在分析内网渗透流量的时候要先做好归类,这样在24小时告警分析时才不会遗漏。
三是内对外的流量,即主机对外有回连C2,这一部分告警相对好处理些,情报都是经过人工研判的,所以如果产生告警那主机必然有问题。终端检测类设备这部分告警相对好分析些,通常告警的是文件,因此只要结合行为和文件本身分析判断下就知道是否是真实攻击。
再来说一下人。笔者今年在二线有一部分工作内容是解答一线的针对设备告警的疑问,直白点就是客服。这一块工作的时候发现了一些有意思的事情。虽然大家都是猴子,但是猴子的水平还是有差别的,下面贴张比较有意思的截图。
未完待续。。。。
