基於網路回溯分析技術的異常行為分析

部落格連結: http://codeshold.me/2017/03/backtrack_technique.html

ISC安全課程（http://www.ichunqiu.com/course/57277）自學知識點總結和補充
關鍵字：TAP方式、蠕蟲網路、木馬、殭屍網路、DNS放大攻擊

0x0 網路回溯分析技術簡介

1. 回溯分析以資料包基礎（儲存最基礎的網路資料）
2. 通過七層的分析來透視網路傳輸的資料
3. 核心作用
   • 瞭解（網路和應用執行規律、使用者行為特點）
   • 發現（安全隱患、異常通訊行為特徵）
   • 證明（歷史資料回溯、數字取證）
4. 網路流量獲取
   • 流量映象（交換機）
   • TAP方式（分路器、分光器直接獲取網路鏈路上的物理訊號從而獲取網路流量）
5. 應用
   • 提供了透視網路行為和事件追溯的重要手段
   • 發現並追蹤定位可疑通訊行為
     • 流量突發、蠕蟲傳播、木馬／殭屍網路、DOS攻擊、滲透攻擊等
   • 各類安全裝置警報事件分析驗證
   • 惡意樣本網路行為特徵分析
   • 評估系統效能、瓶頸

0x1 流量突發監測分析方法

1. 流量突發監測分析方法
   • 影響
     • 導致網路擁塞（利用率長時間超過70%）
     • 產生丟包、延時、抖動，網路質量下降
     • 造成網路無法提供正常的服務
   • 成因
     • 突發大資料傳輸，P2P應用
     • 網路裝置配置問題（路由環路、交換環路）
     • DoS攻擊（DNS、NTP、SSDP放大攻擊等）
     • 蠕蟲、病毒爆發
     • 主機、作業系統、應用程式異常
     • 網路裝置故障
   • 方法
     • 尋找源頭（有無明顯大流量的應用、主機、會話）
     • 進一步判斷產生的原因（網路行為分析，DOS？配合原始資料包解碼分析協助定位）
2. 流量突發分析案例
   • 科來網路回溯分析系統
   • 定位、行為分析（檢視資料包 wireshark或特定的分析工具）

0x2 蠕蟲網路

1. 蠕蟲監測分析方法

   • 蠕蟲通過網路主動複製自己傳播的程式
   • 傳播途徑：郵件蠕蟲（Loveletter）、即時通訊漏洞（MSN/Worm.MM）、作業系統或應用網路漏洞（CodeRed，Nimda）
   • 網路行為特徵
     • 網路層（同大量主機通訊；大多是發包、每個會話流量很少）
     • 會話層（會話連線很多；大多是發出的TCP SYN包，大部分沒有響應或被拒絕）
     • 總體流量不一定很大，但發包遠大於收包數量
   • 蠕蟲傳播
     • 掃描階段（TCP握手包數量異常、IP會話數異常、連續行掃描）
     • 滲透傳播階段（同一目標多次會話、會話內容編碼可疑）

2. 蠕蟲分析案例

   • syn包較多、syn-ack包較少！
   • 單位時間內有大量的TCP會話！
   • 在段時間內掃描了大量的主機
   • 某IP中了CIFS病毒(通用Internet檔案系統 在windows主機之間進行網路檔案共享是通過使用微軟公司自己的CIFS服務實現的。 )
   • 每次通訊都傳輸相同的內容，時序圖內容完全一樣
   • 通訊內容雷同，唯一變化的就是密碼部分
   • 通過警報設定預警同類問題
   • 總結：找到流量異常處、分析資料包和行為模式、設定預警

0x3 木馬和殭屍網路分析方法

1. 木馬行為特徵
   • 監測分析方法
     • 木馬隱蔽性很強、易於偽裝
     • 傳輸途徑多，如郵件、掛馬、漏洞（滲透提權再植入）
     • 與病毒進行捆綁（如蠕蟲病毒）
     • 特殊處理的兔殺木馬（把防毒軟體報有病毒或是有惡意行為的軟體經過修改後防毒軟體可以正常通過，方法有修改軟體的原始碼，加殼，或是修改軟體入口），可以躲過絕大部分查殺
   • 網路行為模型
     • 服務端（肉雞）主動和客戶端（控制端）進行連線，即反向連線
     • 先查詢木馬客戶端域名對應的IP地址；再進行反向連線
     • 通過會話的時長進行分析（通訊量又很少）
     • 可能會通過常用的埠進行通訊（隱蔽通道的方式），通過監測其編碼方式進行判斷
2. 木馬分析案例
   • 域名解析階段（可以域名解析請求）
     • 有兩個域名解析頻率很高
     • 看似無關的域名解析到相同的IP
   • 上線連線階段（可疑外網通訊物件；頻繁對外連線請求）
     • 追蹤可疑IP通訊會話
     • 提取通訊資料流量，發現起下載了zip檔案和ini檔案
     • google、whois自己查詢
   • 上線後（可疑長連結、週期性心跳、特徵編碼、隱蔽通道傳輸）
3. 殭屍網路特徵
   • 常見殭屍網路行為模型
     • 傳播（漏洞攻擊、郵件攜帶、即時通訊、網站掛馬、網路共享）
     • 感染（下載檔案、關閉特定程式、執行IRC客戶端程式
     • 集合（BOT向C&C伺服器傳送資訊，是使用者計算機加入殭屍網路，然後等待命令）
     • 接受控制（接受到C&C命令，然後執行，很多時候是通過下載配置檔案進行執行）
   • 殭屍網路域名解析特徵
     • 會利用大量的域名（規避安全裝置的域名特徵庫；會產生大量的奇怪的域名解析）
     • 往往使用動態域名，成本低廉、管理不嚴格的頂級域名
     • 常見的使用域名有*.cc, *.ws, *.info, *.do
     • 通過回溯分析追蹤歷史上與蠕蟲C&C伺服器IP有過通訊的主機

0x4 DoS攻擊監測分析方法

1. DoS攻擊基本原理
   • 消耗頻寬(Smurf, UDP flood, DNS放大)；消耗計算機資源（ping of death, syn flood）
   • DNS放大攻擊
     • 請求包小，相應包大，可疑放大幾倍、幾十倍
     • 準備條件：1. 殭屍網路上的主機；2. 攻擊者申請一個做攻擊的要解析的域名（將解析內容更大），讓肉雞到各網際網路上的DNS伺服器上進行查詢，讓DNS伺服器上快取該域名的記錄
     • 60位元組的請求，返回512位元組的響應（type=255)更大
   • 受害者端特徵
     • DNS流量佔比極高
     • DNS流量平均包長超過1000B
     • 大量的TYPE＝255的應答包
     • 可能出現大量IP分片報文
   • 跳板機特徵
     • 單個外部域名解析請求頻繁（潛伏期）
     • 頻繁出現TYPE＝255的查詢和應答（潛伏期）
     • 攻擊發生時特徵與受害端接近
2. DNS放大攻擊案例分析
   • 對DNS伺服器請求type=255的紀錄，這個紀錄最多可存放5K的資料
   • 解決方式
     • 受害者：無解，需要藉助運營商
     • 跳板機：關閉遞迴或進行遞迴查詢驗證（window伺服器不支援遞迴查詢驗證）
   • DNS(53, type=255), NTP(123, monlist), SSDP(1900, UPnP)