0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

【虹科技术分享】ntopng是如何进行攻击者和受害者检测

虹科网络可视化技术 2022-04-24 17:12 次阅读

最新的ntopng版本中,为了帮助理解网络和安全问题,警报已经大大丰富了元数据。在这篇文章中,我们重点讨论用于丰富流量警报和标记主机的"攻击者 "和 "受害者 "元数据。具体来说,当一个流量的客户端或服务器很可能是一个或多个安全问题的始作俑者时,它就被标记为 "攻击者"。同样地,当客户端或服务器被认为受到攻击时,它被标记为 "受害者"。对于非安全导向的用例(如严重的丢包),受影响/引起该问题的主机仍然以高分值突出显示,但它们不会被标记为攻击者/受害者,因为这些词只用于安全领域。

例如:

在对可疑的DGA域名的DNS请求中,客户端被认为是 "攻击者",因为它是这种潜在的恶意请求的发起者。

检测到远程代码执行(RCE)、跨站脚本(XSS)和SQL注入尝试时,客户端是 "攻击者",而服务器是 "受害者",因为它正被试图利用其漏洞的客户端探测/攻击。

当通过HTTP下载一个二进制/.exe应用程序,假装它是一个无害的文件,如PNG图像,客户端被认为受到了危害,而服务器被认为是恶意的,因为它的来源是可疑的文件,所以两者都被标为 "攻击者"。

一个DNS数据渗透警报的客户端和服务器都被标记为 "攻击者",因为进行数据渗透需要客户端和服务器都在运行渗透软件,如iodine。

37b9ed6c-c259-11ec-82f6-dac502259ad0.png

本文实例

在这篇文章的提醒中,我们分析了Hancitor感染(由Malware-Traffic-Analysis提供的pcap),以证明ntopng及其新的 "攻击者 "和 "受害者 "元数据在检测此类安全问题方面的有效性。

Hancitor感染基本上是一个多阶段的事件链,导致目标主机下载恶意软件文件,实际上将其变成了威胁者手中的恶意主机。

让我们看看当我们使用ntpng分析带有Hancitor感染的pcap时会发生什么。你可以以下列方式启动ntopng:

ntopng -i 2021-06-01-Hancitor-with-Cobalt-Stike-and-netping-tool.pcap -m "10.0.0.0/8"



37b9ed6c-c259-11ec-82f6-dac502259ad0.png

警报分析

首先,从标题栏可以很清楚地看到有一些可疑的事情发生,因为有成千上万的流量有错误和警告。请注意,被警告的流量的数量可以根据你的配置而变化(见左边的侧栏菜单 "设置"->"用户脚本")。

37cf058a-c259-11ec-82f6-dac502259ad0.png

点击红色的 "错误 "标记将我们带到流量页面,按照有错误的流量进行过滤。通过打开 "状态 "下拉菜单,很明显有一些可疑的活动,如几个可疑的DGA域名请求和2000多个可疑的文件传输。

37e8e766-c259-11ec-82f6-dac502259ad0.png

但是,这个页面不足以了解是否有攻击正在进行,以及谁是麻烦的来源。当访问流警报页面时,这一点变得更加明显。在浏览警报之前,我们可以设置一个过滤器,只看到有 "攻击者 "的安全相关警报。

37f84594-c259-11ec-82f6-dac502259ad0.png

有了这个过滤器,ntopng只显示它检测到的攻击者的警报。事实上,可疑的DGA域警报开始跳出。“骷髅头”符号有助于识别 "攻击者",在这种情况下,就是被Hancitor感染的Windows客户端主机。

381627e4-c259-11ec-82f6-dac502259ad0.png

如果我们继续用攻击者浏览警报,我们也会看到成千上万的可疑文件传输警报。对于这种警报,会显示两个骷髅头。事实上,不仅将被攻击的Windows主机标记为 "攻击者",而且也会将分发恶意文件的服务器标记为 "攻击者 "。

383d99fa-c259-11ec-82f6-dac502259ad0.png

37b9ed6c-c259-11ec-82f6-dac502259ad0.png

如何验证?

但为什么看似无害的文件ga.js的文件传输被认为是可疑的?因为在实践中,这些都不是Javascript文件! 有时,它们只是空文件,有些时候它们是内容不明的二进制文件。只需使用Wireshark提取这些ga.js文件就可以验证这一点,并证明了ntopng在检测网络中发生的这些可疑传输方面的有效性。仅仅通过浏览这些警报就可以发现其他可疑的文件。这些是下载Ficker Stealer和Cobal Strike的请求。

你可以在 "主机地图 "中识别攻击者/受害者(左边栏菜单 "地图"->"主机")。

3861174a-c259-11ec-82f6-dac502259ad0.png

因为它们是X/Y轴上的两个异常值。点击气泡,你可以立即跳到主机页面,看看会发生什么,这在本文中已经讨论过。

37b9ed6c-c259-11ec-82f6-dac502259ad0.png

增值功能

最后,值得一提的是,"攻击者 "和 "受害者 "元数据也可用于主机警报,以发现从事可疑活动的主机,如SYN扫描,或大量DNS或ICMP流量。除了如上所示的实时使用得分外,你还可以长期监测得分,以检测它何时偏离其预期行为。这是检测 "软 "行为变化的必要条件,这些变化不会被上述评分技术检测到,而是用于发现具有更多攻击性行为的攻击者。

ntop产品介绍

388af7c2-c259-11ec-82f6-dac502259ad0.png38a11cbe-c259-11ec-82f6-dac502259ad0.png

虹科提供网络流量监控与分析的软件解决方案-ntop。该方案可在物理,虚拟,容器等多种环境下部署,部署简单且无需任何专业硬件即可实现高速流量分析。解决方案由多个组件构成,每个组件即可单独使用,与第三方工具集成,也可以灵活组合形成不同解决方案。包含的组件如下:

PF_RING:一种新型的网络套接字,可显着提高数据包捕获速度,DPDK替代方案。

nProbe:网络探针,可用于处理NetFlow/sFlow流数据或者原始流量。

n2disk:用于高速连续流量存储处理和回放。

ntopng:基于Web的网络流量监控分析工具,用于实时监控和回溯分析。

38d9cff0-c259-11ec-82f6-dac502259ad0.png

38e90ab0-c259-11ec-82f6-dac502259ad0.gif


虹科是在各细分专业技术领域内的资源整合及技术服务落地供应商。虹科网络可视化与安全事业部,凭借深厚的行业经验和技术积累,近几年来与世界行业内顶级供应商Morphisec,Apposite,LiveAction,Profitap,Cubro,Elproma等建立了紧密的合作关系。我们的解决方案包括网络流量监控,网络流量采集和优化,端到端网络性能可视化,网络仿真,网络终端安全(动态防御),物联网设备漏洞扫描,安全网络时间同步等解决方案。虹科的工程师积极参与国内外专业协会和联盟的活动,重视技术培训和积累。

此外,我们积极参与工业互联网产业联盟、中国通信企业协会等行业协会的工作,为推广先进技术的普及做出了重要贡献。我们在不断创新和实践中总结可持续和可信赖的方案,坚持与客户一起思考,从工程师角度发现问题,解决问题,为客户提供完美的解决方案。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 检测
    +关注

    关注

    5

    文章

    4407

    浏览量

    91291
收藏 人收藏

    评论

    相关推荐

    IP定位技术追踪网络攻击源的方法

    线索我们可以一路追查,最终定位到攻击源头。 IP定位技术的工作流程 数据收集 通过网络安全设备,例如入侵检测系统IDS/IPS的实时监测与分析,我们能够捕获到流经网络的大量流量数据。这些数据中隐藏着
    的头像 发表于 08-29 16:14 278次阅读

    何进行IP检测

    排查网络连接问题,并及时的防范潜在的网络攻击。 那么,如何进行 IP 地址检测呢?接下来我将进行图示哦~ 使用操作系统自带的工具 ① Windows 系统中,按win+R,输入“ipc
    的头像 发表于 07-26 14:09 408次阅读
    如<b class='flag-5'>何进行</b>IP<b class='flag-5'>检测</b>

    浅谈PUF技术如何保护知识产权

    使用加密芯片来保护知识产权,对设备进行认证或加密处理,但加密芯片中薄弱的环节在于密钥。通过暴力剖析、侧信道攻击、逆向工程等方法,攻击者可以获取存储在芯片非易失存储器中的加密密钥,从而实现破解。 针对
    发表于 07-24 09:43

    微软Windows快捷助手被黑客滥用,远程管理软件或成攻击突破口

    该安全公司指出,此次攻击可能出自勒索软件黑客组织Black Basta之手。自四月中旬以来,他们通过网络钓鱼手段诱使受害者开启快速助手并输入安全验证码,因为此功能集成于Windows系统内,故能轻易取得受害者信任。
    的头像 发表于 05-16 16:27 456次阅读

    GitHub存在高危漏洞,黑客可利用进行恶意软件分发

    据悉,该漏洞允许用户在不存在的GitHub评论中上传文件并创建下载链接,包括仓库名和所有信息。这种伪装可能使受害者误以为文件为合法资源。
    的头像 发表于 04-23 14:36 588次阅读

    科干货】长文预警!使用ntopng和NetFlow/IPFIX检测Dos攻击(下)

    本文深入研究了网络DoS攻击的现象,并介绍了如何利用NetFlow协议进行威胁检测和分析。通过使用工具如Ntopng和Wireshark,我们可以监控网络流量并及时识别潜在的DoS
    的头像 发表于 04-15 16:18 250次阅读
    【<b class='flag-5'>虹</b>科干货】长文预警!使用<b class='flag-5'>ntopng</b>和NetFlow/IPFIX<b class='flag-5'>检测</b>Dos<b class='flag-5'>攻击</b>(下)

    科干货 | 长文预警!使用ntopng和NetFlow/IPFIX检测Dos攻击(上)

    本文深入研究了网络DoS攻击的现象,并介绍了如何利用NetFlow协议进行威胁检测和分析。通过使用工具如Ntopng和Wireshark,我们可以监控网络流量并及时识别潜在的DoS
    的头像 发表于 04-15 16:04 324次阅读
    <b class='flag-5'>虹</b>科干货 | 长文预警!使用<b class='flag-5'>ntopng</b>和NetFlow/IPFIX<b class='flag-5'>检测</b>Dos<b class='flag-5'>攻击</b>(上)

    苹果Mac设备易成为企业环境黑客攻击目标

    随着macOS桌面用户群体的壮大,攻击者正调整攻势,致力于创新更多的跨平台攻击方式。数据表明,攻击者通常会借助社交工程的手段,将开发人员和工程师等企业用户设为攻击目标。
    的头像 发表于 04-12 11:25 301次阅读

    苹果警告iPhone用户可能成为间谍软件攻击目标

    虽然苹果并未披露攻击者以及受害用户所在的具体国家或地区信息,但警告信明确指出:“苹果已探测到您正成为间谍软件攻击受害者,此种攻击意在远程破
    的头像 发表于 04-11 16:25 565次阅读

    使用ntopng和NetFlow/IPFIX检测Dos攻击(下)

    话不多说,直接进入正题。文章速览:Ntopng在模拟中发出警报警报:最近的活跃流一个攻击检测过程示例——使用slowhttptest进行HTTP慢速
    的头像 发表于 04-04 08:04 340次阅读
    使用<b class='flag-5'>ntopng</b>和NetFlow/IPFIX<b class='flag-5'>检测</b>Dos<b class='flag-5'>攻击</b>(下)

    使用ntopng和NetFlow/IPFIX检测Dos攻击(上)

    为了和大家探讨网络安全领域中的关键问题,我将分两期来展示如何使用ntopng和NetFlow/IPFIX检测Dos攻击。在本篇中,我先简单介绍网络安全面临的挑战、为何网络流量分析在应对网络安全挑战中
    的头像 发表于 03-28 08:04 329次阅读
    使用<b class='flag-5'>ntopng</b>和NetFlow/IPFIX<b class='flag-5'>检测</b>Dos<b class='flag-5'>攻击</b>(上)

    施耐德电气遭勒索软件攻击,大量机密数据泄露

    Cactus是一种新颖的勒索软件,首次出现于2023年5月,其独有的加密机制可避免常规检测。此外,Cactus具备多种加密选项,包含快速模式。若攻击者选择连贯执行两种模式,受害方文件将被双重加密,附件会添加两个不同的扩展名。
    的头像 发表于 01-31 10:51 1222次阅读

    DDoS攻击的多种方式

    DDOS攻击指分布式拒绝服务攻击,即处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这
    的头像 发表于 01-12 16:17 549次阅读

    苹果“电池门”事件:赔偿和解与背后的商业策略

    1月7号,随着“电池门”案的落幕,苹果公司已经对其“受害者进行了补偿。涉及诉讼和索赔的 iPhone客户都得到了相应的补偿,每个补偿金额大约为92.17美金,而这些受害者中的一些人,将会得到接近1000美金的赔偿金。
    的头像 发表于 01-10 09:40 751次阅读
    苹果“电池门”事件:赔偿和解与背后的商业策略

    攻击者访问了“Gideon”用户

    攻击者执行了net use z: \10.1.1.2c$ 指令将 10.1.1.2域控制器的C盘映射到本地的Z盘,并且使用了rar压缩工具将文件存储在 crownjewlez.rar里,所以密码就在这里了
    的头像 发表于 11-29 15:50 393次阅读
    <b class='flag-5'>攻击者</b>访问了“Gideon”用户