NSFOCUS 針對已知數據的資訊挖掘
2017-11-13

針對已知數據的資訊挖掘

在資訊經濟時代,資料就是一切,資料承載了政治,軍事,經濟,科研,教育,日常生活等各個領域的信息量。可以說對資料的把控直接就掌握了一個國家的命脈。
 

普廣網路防禦思維

對於資料資訊的獲取就顯得尤為重要。利用網路行為獲取資料資訊以成為資料獲取的主要途徑。為防止資料洩漏需要對資料從三個方面做防護:前期資料保護機制;對目標系統的定期安全檢查及網路安全防護能力;對於資料獲取過程中的通道創建,連結,通信的監控,包括主機的惡意行為防護,網路安全防護等措施。三個方面防禦措施的有效結合基本可以探知,保護,防禦,資料資訊,防止資料被盜取。

需要的效果

但是理想很豐滿,現實骨感。針對目標入侵行為,不但要能夠保護目標,同時也要能夠根據網路痕跡,採用取證系統和資料分析對攻擊做跟蹤,能夠做到拔出蘿蔔帶出泥的效果。對於網路攻擊獲取資料的防護,調查取證,也不僅僅簡單的看作是對單點攻擊事件的分析,更應該通過已掌握的資訊來挖據更多的資訊,從此徹底根除網路毒瘤。

沒有最好

針對網路攻擊中的調查取證及攻擊跟蹤溯源目前比較行之有效的方式是利用已繳獲的攻擊樣本做深入分析,但是利用該方法去挖掘犯罪組織有兩個顯著的缺陷:

①慢,利用樣本分析來獲取,跟蹤網路犯罪組織相對比較慢,畢竟對於樣本資訊的挖掘,需要耗費更多的時間和精力。當出現大量樣本時無法即時有效的跟蹤所有的網路攻擊行為。

②少,利用的樣本分析是在既有樣本的前提下,但是不是所有的攻擊行為都能夠獲取樣本,這樣在無樣本的狀態下就很難跟蹤到樣本的實施者。

只要更好

資料就是一切,在大資料充斥網路空間的今天,利用資料分析系統從海量日誌資訊中挖掘資訊。不但適用于現實生活中的方方面面,而且在網路攻擊跟蹤方面也是不可獲取的重要環節。結合日誌審計方案,利用大資料分析平臺通過機器學習的思想對既有安全性記錄檔做事件,時間、性質方面的多維度分析,從而快速、全面的獲取攻擊畫像。

接下來以前段時間爆出的XSHELL高級後門的威脅事件為例來探討在利用安全性記錄檔和資料分析來如何獲取更有價值的資訊。

XSHELL是為一款免費終端類比軟體,最早在8月4日外國安全公司卡巴斯基發現XSHEll軟體存在後門。對於該後門的具體實現過程在這裡不做過多的展開,從後門的整個實現過程來看內部採用多級加密技術,對於此類後門的分析和溯源相對來說要消耗更多的資源。如果從安全性記錄檔中利用資料分析的方式則更能方便,快捷的獲取攻擊行為及攻擊者的資訊。

接下來還是要擺事實講道理。

下圖為骨幹中部署的幾個監控點以天為單位在一段時間內的針對xshell後門連結行為的資料獲取。

從上圖可知即使在xshell補丁已經發佈N天之後,針對9月20日到9月26日之間的一個監控情況。從上圖可知到目前為止還有大量機器存在該後門。從上圖中看,9月22日,23日兩天後門活躍程度明顯下降,而到24日之後又明顯回升。究其原因在於,xshell屬於終端類比軟體,一般使用此軟體的使用者多為有一些電腦專業知識人員,從事電腦相關的工作。9月22日,23日為剛好為週五,週六;基本是休息狀態,此時使用者的活躍度也就不高。在圖中顯示相對較低,而在工作日,隨著使用者使用該軟體的數量增長。其監控的結果也就越加明顯。

下圖是以小時單位針對在9月20日到9月26日之間的xshell後門訪問情況。

從上圖中可以看出,xshell後門爆發和工作時間基本吻合,即在上下午的工作時間剛好是xshell後門爆發的高峰期,而在中午和夜間相對要少很多。

該後門利用DGA演算法生成功能變數名稱,並將GUID、主機名稱和用戶名等資訊一個加密首碼和功能變數名稱一起發送,下圖是利用部署的監控點所探查到的資料監控行為:

從結果來看監控資料主要由兩部分內容組成,一部分是就是由於主機名稱,GUID,用戶名等資訊經過加密以後組成;另一部分是有DGA演算法得到的功能變數名稱而構成。

下表是在這20日到26日之間採集到的利用DGA演算法功能變數名稱的網路行為監控:

DGA功能變數名稱生成演算法和年份月份息息相關。而功能變數名稱Jkvmdmjyfcvkf.comNylalobghyhirgh.com剛好是2017年8月份和9月份生成的兩個功能變數名稱。

在針對一些監控資料做了分析之後,就要利用通過自動化分析和綠盟威脅情報中心來識別出一些攻擊源資訊。

XShell後門通過DNS協議分別向8.8.8.8|8.8.4.4|4.2.2.1|4.2.2.2|[本地dns伺服器]發送請求,等待回應。下面截圖為針對這些伺服器發起連接的部分截圖

圖中可以看出有局域網發起的DNS請求連接也有公網IP發起的DNS請求連接。並且會有部分DNS回應的資料,指示DNS請求者遞迴查詢功能變數名稱資訊。

那除去這些針對默認dns伺服器的連接,是否可以捕獲到一些具有攻擊性質的IP位址呢。結果之前資料獲取和自動化分析。位址資訊如下圖:

上圖中標紅部分為一些惡意IP位址資訊。

針對已經掌握的部分惡意IP從綠盟威脅情報中心對該IP做了進一步的確認和跟蹤,如下圖

近期資料分析之後的結果

下圖是9月5日至11月4日之間對功能變數名稱的監控資料

由以上可知,利用安全性記錄檔和大資料分析技術,通過自動化分析方式不但可以在獲取漏洞、惡意樣本的攻擊趨勢,攻擊範圍,攻擊的特徵,而且能夠深挖出一些更加有價值的資訊。尤其在對於這些具有網路行為的特徵的攻擊行為,通過多點部署,多點監控,資訊收集,資料統計,分析,資料採擷等方式,在已知威脅的基礎之上,獲取更有價值的威脅資訊。進而更加有效的提前防禦未知威脅。

 

 

如有任何問題,查詢或意見請直接與我們聯繫:

電子郵件:pm@fairline.com.tw

電話號碼:02 2658 1818 Ext.221 聯絡人: 林 先生

辦公地址:台北市內湖區瑞光路583巷32號五樓