0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

艾体宝干货 IOTA流量分析秘籍第二招:IDS或终端保护系统分析

laraxu 来源:laraxu 作者:laraxu 2024-07-05 09:58 次阅读

终端保护解决方案或入侵检测系统(IDS)可以基于启发式方法、特征码以及新解决方案中的人工智能来检测恶意事件。它们通过电子邮件、Syslog、Webhooks或其他方式生成警报。然而,有效地分析这些警报消息的根本原因,以识别和响应潜在威胁,需要先进的工具和方法。
本文探讨了IOTA网络流量捕获和分析解决方案如何使安全专业人员能够分析IDS警报消息,从而全面提升网络安全。
一、流量捕获
第一步是捕获受影响的流量。使用IOTA捕获网络流量有两种选择:内联(in-line)或通过SPAN连接。如果我们已永久部署IOTA,可以在警报出现后立即对流量模式进行回溯分析。IOTA在网络中的放置位置必须根据预期应用决定。
二、流量分析
我们的分析过程取决于消息是来自终端检测与响应(EDR)系统还是入侵检测系统(IDS)。因此,我们描述了分析安全警报的各种方法。
三、寻找“零号病人(patient zero)”
名词解释:在网络安全领域,“Patient Zero”(零号病人)是一个重要的概念,用于描述首次感染恶意软件或病毒的用户或设备。其识别和防御对于控制恶意软件的传播至关重要。
回溯分析的第一步是选择所需的时间窗口。我们可以在IOTA界面的右上角区域中选择绝对时间窗口(从某个时间到另一个时间)或相对于当前时间的时间窗口。时间窗口应尽可能限制,以简化后续分析。

wKgaomaHUl-AQcFeAAw2R-_4u4o156.png

图 1:在 IOTA 面板上应用相对或绝对时间过滤器


我们从受影响的主机开始搜索攻击者。让我们从首次检测到攻击或异常行为的主机开始,找到所谓的 “0 号病人”,并相应地限制时间窗口。
如果是已知攻击,则可以专门搜索通信模式,如特定目标端口。我们还以此为例。我们假设一个文件服务器受到勒索软件攻击,该服务器通过网络中的服务器消息块(SMB)提供服务。服务器的 IPv4 地址是 192.168.178.6。
我们知道 SMB 在 TCP 端口 445 上运行,因此我们对该目标端口进行过滤。这表明,在加密时间窗口内,只有 192.168.178.22 客户端与文件服务器建立了 SMB 连接。

wKgaomaHUm-ABIjeAAwYIL5vhRo920.png

图 2:按目的地端口 445 和 IP 地址 192.168.178.6 过滤的视图。流量图也经过过滤


在这里,我们使用过滤器 “IP_SRC = 192.168.178.22 ”来检查客户端 192.168.178.22 不久前建立了哪些通信关系,并明确是命令和控制流量还是下载流量。
在此之前,只有一个通信关系离开了内部网络,具体来说,是一个在目标端口 443 上使用 TLS 的 TCP 连接,即 HTTPS。在这里,我们使用 IOTA 的下载功能下载了整个数据流和相应的数据流。现在,我们可以检查客户端 hello 中的 TLS 扩展服务器名称指示 (SNI),以明确客户端使用哪个主机名建立连接。

wKgZomaHUnuARMd0AAU5JHlHmys882.png

图 3:概览仪表板上的流量列表。我们可以将其下载为 PCAPNG 格式,详细查看特定流量,或通过选择 “+”符号进行包含过滤,或选择“-”符号进行排除过滤

由于 TLS 加密,下载本身无法以纯文本形式识别,因此必须在日志文件中对客户端进行进一步分析。这表明用户下载并安装了一个恶意程序,然后通过分析的 SMB 网络共享对文件进行加密。
这些步骤为我们提供了导致攻击的 IP 地址、主机名和文件。不过,在某些情况下,下载恶意软件的服务器只是攻击者的 “前端服务器”,它们也会不时发生变化。
不过,由于网络中的横向移动在攻击事件中通常是可以识别的,因此还应检查其他客户端,因为受影响的客户端可能已经分发了恶意软件。如果在受影响的客户端上无法识别外部通信关系,则应检查所有内部通信模式,看是否有异常情况可能将恶意软件带到客户端 192.168.178.22。
要首先识别该主机与哪些远程站进行过通信,我们可以进入 “概览 ”仪表板,然后单击流程图中的 IP 地址。然后,IOTA 会对点击的 IP 地址应用带有源地址和目标地址的 IP 过滤器。

wKgaomaHUomAeFFeAA0UIcyMmSQ933.png

图 4:通过 IP 地址过滤并查看捕获的流量


在这幅图中,我们可以看到两个流量。我们随后可以识别出几种基于 IPv4 的通信模式。在示例中,主机与其他六个地址通信,其中一个是广播地址 (255.255.255.255),192.168.178.1 是网关。我们还可以看到组播地址 224.0.0.251 和 239.255.255.250。这样就只剩下 192.168.178.6 和 192.168.178.25。由于 192.168.178.6 本身就是文件服务器,我们可以认为 192.168.178.25 是唯一的其他主机。
通过对 192.168.178.25 进行过滤,我们可以调查与该 IP 连接的所有通信模式。如果只有一个流向 192.168.178.22,我们就可以认为 192.168.178.25 是零号病人。
四、ARP 欺骗
在下面的示例中,客户数据中心网络 IDS 报告了一次 ARP 欺骗攻击。IDS 告诉我们,IP 地址 192.168.178.21 受此攻击影响。我们需要获取攻击者的 MAC 地址,以便在网络中搜索攻击者所在的交换机和相应端口。
客户数据中心 IP 网络是静态寻址的,因此我们只能看到 IP 和 MAC 地址之间一对一的映射。我们进入本地资产仪表板,使用 IOTA 调查此 IDS 警报。

wKgZomaHUpSAH5udAARMWOTR8ZA261.png

图 5:导航至本地资产仪表板


然后,我们可以通过执行过滤规则 “IP_SRC = 192.168.178.21 ”来过滤源 IP 地址。我们可以在 “客户端清单列表 ”下看到两个 MAC 地址。MAC 地址 14:1A:97:9E:AC:D5 是原始 Mac 地址。因此,攻击者的 MAC 地址为 60:3E:5F:36:2B:5B,如下图所示。

wKgZomaHUp-AdXTjAAWxxW91n1U709.png

图 6:我们可以看到关于 IP 地址 192.168.178.21 的两个 MAC 地址。因此,我们拥有两个 MAC 地址


现在,我们已经掌握了在网络上搜索交换机上攻击者定位所需的全部信息
五、TLS 降级
另一个例子是,我们连接到 TAP 的 IDS 系统生成了 TLS 降级攻击警报信息。受影响的公司策略只允许 TLS 版本 1.2 和 1.3,因此我们需要调查哪些主机正在使用 TLS 版本 1.0 或 1.1。为此,我们导航到 SSL/TLS 概述仪表板。

wKgaomaHUqqASEvQAARPeSD_YaQ638.png

图 7:导航至 SSL/TLS 概述控制面板


在 SSL/TLS 总览仪表板上,我们可以看到使用 TLS 1.1 或 1.0 的不安全配置,以及 SSL/TLS 服务器的配置栏。
如下图所示,我们可以通过 “TLS_SERVER_VERSION < TLSv1.2 ”进行过滤,只获取不安全连接。在这里,我们有一台 IP 地址为 192.168.178.6 的服务器,它的 TLSv1 和 TLSv1.1 已激活,我们有 160 个流量受到不安全传输加密方法的影响。我们现在知道,只有这台服务器会受到这种攻击的影响。

wKgaomaHUreABIp1AAv5-YrZSQM077.png

图 8:带有不安全 TLS 版本过滤器的 SSL/TLS 总览仪表板


之后,我们要调查该服务器是否也启用了安全版本。在 SSL/TLS 总览控制面板上,我们创建了 “IP_DST=192.168.178.6 ”过滤器,以便根据受影响的目标 IP 地址进行过滤。我们可以看到,该服务器也启用了 TLSv1.2 和 TLSv1.3 安全版本。因此,我们可以认为该服务器受到了 TLS 降级攻击的影响。

wKgZomaHUsSAc7NhAAvv8N026aY831.png

图 9:SSL/TLS 概述仪表板,显示 IP 地址 192.168.178.6 提供的所有 TLS 版本

六、端口扫描
我们的下一个安全事件由终端保护生成。IOTA 可以识别端口扫描并清除产生扫描的主机。因此,我们需要导航到 TCP 分析仪表板。

wKgZomaHUs-AOSbKAARrrmLGL0I666.png

图 10:导航至 TCP 分析仪表板


在 “TCP 分析 ”面板上,我们可以过滤 “不完整的 3 路或无数据(Incomplete 3-way w/o Data)”。这有助于我们将所谓的 TCP 半开启作为不完整三向进行检查。
TCP 半开放有助于识别发送 SYN、等待 SYN/ACK 并保持握手开放的攻击者。攻击者可以在不通过 ACK 完成 TCP 握手的情况下获得开放端口的信息。某些情况下会显示握手数据而不传输数据,这表明端口扫描。

wKgaomaHUtyABzC-AAvl516z40w979.png

图 11:带有源 IP 地址和目标 IP 地址过滤器的 TCP 分析仪表板,以及我们的指标 “不完整 3 路 ”和 “无数据”

七、为记录目的导出数据
有时,需要导出捕获的数据以进行彻底的取证分析或进一步调查。这一过程可按需或主动执行,确保我们不受 IOTA 存储容量的限制。
我们可以导航到左侧菜单中的 “IOTA 数据库 ”选项,以方便进行此操作。随后,我们可以进入 “捕获导出”,选择首选协议,即 WebDAV 或 FTP。单击 “应用 ”启动导出流程,即可配置凭证和错误处理。按照该协议,捕获的数据将以 PCAP 文件的形式上传到指定的服务器,每隔三十秒上传一次。

wKgaomaHUueAQzD7AA3ccey5HNs455.png

图 12:定期导出到 WebDAV 服务器


IOTA 固态硬盘上的所有捕获数据都可以作为 PCAPNG 文件在 IOTA 数据保险库的 “捕获文件 ”部分进行访问。IOTA 每三十秒生成一次新的 PCAPNG 文件。我们可以按开始时间选择所需的数据,然后点击下载。下载捕获文件后,我们可以根据需要在 Wireshark 中分析有效载荷。

wKgaomaHUvGASkt0ABA3hS0JgCs553.png

图 13:选择并下载 PCAPNG 文件,以便在 Wireshark 中进行进一步研究


结论
IOTA 允许灵活的网络集成和捕获选项,以便对安全警报做出反应。捕获可以在报告警报后按需进行,也可以作为永久滚动捕获进行。
建议采用永久捕获方式,以便在警报发出后立即提供所需数据进行分析。
流量可以简单地导出为 PCAPNG,然后在需要时导入进行分析。IOTA 使我们能够使用提供的仪表板快速有效地分析恶意通信模式。灵活的过滤器组合和深入分析选项可加快根本原因分析。

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • IDS
    IDS
    +关注

    关注

    0

    文章

    26

    浏览量

    16136
  • 网络安全
    +关注

    关注

    10

    文章

    3124

    浏览量

    59582
  • Iota
    +关注

    关注

    0

    文章

    28

    浏览量

    8369
收藏 人收藏

    评论

    相关推荐

    一文读懂MSA(测量系统分析)

    一文读懂MSA(测量系统分析)
    的头像 发表于 11-01 11:08 750次阅读
    一文读懂MSA(测量<b class='flag-5'>系统分析</b>)

    干货 如何使用 IOTA 解决网络电话(VoIP)质量问题

    分析降低的 VoIP 质量,涉及呼叫设置错误和语音质量错误等内容,从接口配置到图表参数分析,让您更加清晰的了解IOTA如何分析VoIP 质量问题。
    的头像 发表于 10-29 09:18 124次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b><b class='flag-5'>干货</b> 如何使用 <b class='flag-5'>IOTA</b> 解决网络电话(VoIP)质量问题

    测量系统分析

    电子发烧友网站提供《测量系统分析.doc》资料免费下载
    发表于 10-10 11:46 0次下载

    电路原理 电力系统分析电力电子电磁学

    电路原理 模电数电电力电子电磁学 PLC电力系统 电力系统分析
    发表于 10-07 16:21

    如何使用 IOTA 分析安全漏洞的连接尝试

    在当今数字化世界中,网络安全变得至关重要。本文将探讨如何利用流量数据分析工具来发现和阻止安全漏洞和恶意连接。通过分析 IOTA 流量,您可以
    的头像 发表于 09-29 10:19 228次阅读
    如何使用 <b class='flag-5'>IOTA</b> <b class='flag-5'>分析</b>安全漏洞的连接尝试

    时钟噪声对DAC性能影响系统分析

    电子发烧友网站提供《时钟噪声对DAC性能影响系统分析.pdf》资料免费下载
    发表于 09-26 09:14 0次下载
    时钟噪声对DAC性能影响<b class='flag-5'>系统分析</b>

    干货 如何使用IOTA进行远程流量数据采集分析

    本文详细介绍了如何使用IOTA设备进行远程流量数据采集与分析,特别适用于分布式网络、多站点
    的头像 发表于 09-02 17:20 220次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b><b class='flag-5'>干货</b> 如何使用<b class='flag-5'>IOTA</b>进行远程<b class='flag-5'>流量</b>数据采集<b class='flag-5'>分析</b>

    案例 IOTA在研发智慧医疗设备方面的应用实例

    本文将探讨Profitap IOTA如何监控实验室的网络环境,有哪些功能较为实用,有哪些关键应用场景等。
    的头像 发表于 08-12 14:25 237次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b>案例  <b class='flag-5'>IOTA</b>在研发智慧医疗设备方面的应用实例

    干货 IOTA流量分析秘籍第三:检测黑名单上的IP地址

    干货 | IOTA流量分析秘籍第三
    的头像 发表于 07-16 11:48 346次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b><b class='flag-5'>干货</b> <b class='flag-5'>IOTA</b><b class='flag-5'>流量分析</b><b class='flag-5'>秘籍</b>第三<b class='flag-5'>招</b>:检测黑名单上的IP地址

    干货 IOTA流量分析秘籍第一:网络基线管理

    网络基线管理是一项关键的网络安全实践,它有助于识别网络中的异常活动并及时采取措施。本文将探讨如何利用IOTA这一强大的工具来捕获和分析网络流量,以便更有效地了解网络中的流量模式,并提供
    的头像 发表于 07-02 14:53 302次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b><b class='flag-5'>干货</b>  <b class='flag-5'>IOTA</b><b class='flag-5'>流量分析</b><b class='flag-5'>秘籍</b>第一<b class='flag-5'>招</b>:网络基线管理

    干货 | 教程:使用ntopng和nProbe监控网络流量

    本文是关于使用 ntopng 和 nProbe 监控网络流量的教程。文章详细介绍了如何配置和使用这两个工具来监控和分析网络流量。内容涉及硬件和软件的安装、配置端口镜像、静态IP地址设置、SSH服务器
    的头像 发表于 05-29 15:35 800次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b><b class='flag-5'>干货</b> | 教程:使用ntopng和nProbe监控网络<b class='flag-5'>流量</b>

    产品 | 网络流量分析仪样机已备妥,欢迎试用

    在当今数字化时代,网络的可靠性和安全性是企业成功的关键。的 ITT-Allegro 500 和 ITT-Allegro 1000 是专为网络监控和故障排除而设计的先进工具。无论您是运营商、企业
    的头像 发表于 05-06 15:00 349次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b>产品 | 网络<b class='flag-5'>流量分析</b>仪样机已备妥,欢迎试用

    产品 | Allegro网络流量分析

    产品 | Allegro网络流量分析
    的头像 发表于 04-29 08:04 437次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b>产品 | Allegro网络<b class='flag-5'>流量分析</b>仪

    浅谈现场总线的智能照明系统分析与应用研究

    浅谈现场总线的智能照明系统分析与应用研究 张颖姣 安科瑞电气股份有限公司 上海嘉定 201801 【摘要】:科学技术的发展使得照明控制的方法不断发生改变,近年来照明控制系统大多在现场总线的基础上实现
    的头像 发表于 02-26 09:29 490次阅读
    浅谈现场总线的智能照明<b class='flag-5'>系统分析</b>与应用研究

    单端口网络S参数测量系统分析

    单端口网络S参数测量系统分析
    的头像 发表于 01-05 09:22 620次阅读
    单端口网络S参数测量<b class='flag-5'>系统分析</b>