艾體寶干貨 IOTA流量分析秘籍第二招：IDS或終端保護(hù)系統(tǒng)分析

終端保護(hù)解決方案或入侵檢測(cè)系統(tǒng)（IDS）可以基于啟發(fā)式方法、特征碼以及新解決方案中的人工智能來(lái)檢測(cè)惡意事件。它們通過(guò)電子郵件、Syslog、Webhooks或其他方式生成警報(bào)。然而，有效地分析這些警報(bào)消息的根本原因，以識(shí)別和響應(yīng)潛在威脅，需要先進(jìn)的工具和方法。
本文探討了IOTA網(wǎng)絡(luò)流量捕獲和分析解決方案如何使安全專(zhuān)業(yè)人員能夠分析IDS警報(bào)消息，從而全面提升網(wǎng)絡(luò)安全。
一、流量捕獲
第一步是捕獲受影響的流量。使用IOTA捕獲網(wǎng)絡(luò)流量有兩種選擇：內(nèi)聯(lián)（in-line）或通過(guò)SPAN連接。如果我們已永久部署IOTA，可以在警報(bào)出現(xiàn)后立即對(duì)流量模式進(jìn)行回溯分析。IOTA在網(wǎng)絡(luò)中的放置位置必須根據(jù)預(yù)期應(yīng)用決定。
二、流量分析
我們的分析過(guò)程取決于消息是來(lái)自終端檢測(cè)與響應(yīng)（EDR）系統(tǒng)還是入侵檢測(cè)系統(tǒng)（IDS）。因此，我們描述了分析安全警報(bào)的各種方法。
三、尋找“零號(hào)病人（patient zero）”
名詞解釋?zhuān)涸诰W(wǎng)絡(luò)安全領(lǐng)域，“Patient Zero”（零號(hào)病人）是一個(gè)重要的概念，用于描述首次感染惡意軟件或病毒的用戶(hù)或設(shè)備。其識(shí)別和防御對(duì)于控制惡意軟件的傳播至關(guān)重要。
回溯分析的第一步是選擇所需的時(shí)間窗口。我們可以在IOTA界面的右上角區(qū)域中選擇絕對(duì)時(shí)間窗口（從某個(gè)時(shí)間到另一個(gè)時(shí)間）或相對(duì)于當(dāng)前時(shí)間的時(shí)間窗口。時(shí)間窗口應(yīng)盡可能限制，以簡(jiǎn)化后續(xù)分析。

圖 1：在 IOTA 面板上應(yīng)用相對(duì)或絕對(duì)時(shí)間過(guò)濾器

我們從受影響的主機(jī)開(kāi)始搜索攻擊者。讓我們從首次檢測(cè)到攻擊或異常行為的主機(jī)開(kāi)始，找到所謂的 “0 號(hào)病人”，并相應(yīng)地限制時(shí)間窗口。
如果是已知攻擊，則可以專(zhuān)門(mén)搜索通信模式，如特定目標(biāo)端口。我們還以此為例。我們假設(shè)一個(gè)文件服務(wù)器受到勒索軟件攻擊，該服務(wù)器通過(guò)網(wǎng)絡(luò)中的服務(wù)器消息塊（SMB）提供服務(wù)。服務(wù)器的 IPv4 地址是 192.168.178.6。
我們知道 SMB 在 TCP 端口 445 上運(yùn)行，因此我們對(duì)該目標(biāo)端口進(jìn)行過(guò)濾。這表明，在加密時(shí)間窗口內(nèi)，只有 192.168.178.22 客戶(hù)端與文件服務(wù)器建立了 SMB 連接。

圖 2：按目的地端口 445 和 IP 地址 192.168.178.6 過(guò)濾的視圖。流量圖也經(jīng)過(guò)過(guò)濾

在這里，我們使用過(guò)濾器 “IP_SRC = 192.168.178.22 ”來(lái)檢查客戶(hù)端 192.168.178.22 不久前建立了哪些通信關(guān)系，并明確是命令和控制流量還是下載流量。
在此之前，只有一個(gè)通信關(guān)系離開(kāi)了內(nèi)部網(wǎng)絡(luò)，具體來(lái)說(shuō)，是一個(gè)在目標(biāo)端口 443 上使用 TLS 的 TCP 連接，即 HTTPS。在這里，我們使用 IOTA 的下載功能下載了整個(gè)數(shù)據(jù)流和相應(yīng)的數(shù)據(jù)流?，F(xiàn)在，我們可以檢查客戶(hù)端 hello 中的 TLS 擴(kuò)展服務(wù)器名稱(chēng)指示 (SNI)，以明確客戶(hù)端使用哪個(gè)主機(jī)名建立連接。

圖 3：概覽儀表板上的流量列表。我們可以將其下載為 PCAPNG 格式，詳細(xì)查看特定流量，或通過(guò)選擇 “+”符號(hào)進(jìn)行包含過(guò)濾，或選擇“-”符號(hào)進(jìn)行排除過(guò)濾

由于 TLS 加密，下載本身無(wú)法以純文本形式識(shí)別，因此必須在日志文件中對(duì)客戶(hù)端進(jìn)行進(jìn)一步分析。這表明用戶(hù)下載并安裝了一個(gè)惡意程序，然后通過(guò)分析的 SMB 網(wǎng)絡(luò)共享對(duì)文件進(jìn)行加密。
這些步驟為我們提供了導(dǎo)致攻擊的 IP 地址、主機(jī)名和文件。不過(guò)，在某些情況下，下載惡意軟件的服務(wù)器只是攻擊者的 “前端服務(wù)器”，它們也會(huì)不時(shí)發(fā)生變化。
不過(guò)，由于網(wǎng)絡(luò)中的橫向移動(dòng)在攻擊事件中通常是可以識(shí)別的，因此還應(yīng)檢查其他客戶(hù)端，因?yàn)槭苡绊懙目蛻?hù)端可能已經(jīng)分發(fā)了惡意軟件。如果在受影響的客戶(hù)端上無(wú)法識(shí)別外部通信關(guān)系，則應(yīng)檢查所有內(nèi)部通信模式，看是否有異常情況可能將惡意軟件帶到客戶(hù)端 192.168.178.22。
要首先識(shí)別該主機(jī)與哪些遠(yuǎn)程站進(jìn)行過(guò)通信，我們可以進(jìn)入 “概覽 ”儀表板，然后單擊流程圖中的 IP 地址。然后，IOTA 會(huì)對(duì)點(diǎn)擊的 IP 地址應(yīng)用帶有源地址和目標(biāo)地址的 IP 過(guò)濾器。

圖 4：通過(guò) IP 地址過(guò)濾并查看捕獲的流量

在這幅圖中，我們可以看到兩個(gè)流量。我們隨后可以識(shí)別出幾種基于 IPv4 的通信模式。在示例中，主機(jī)與其他六個(gè)地址通信，其中一個(gè)是廣播地址 (255.255.255.255)，192.168.178.1 是網(wǎng)關(guān)。我們還可以看到組播地址 224.0.0.251 和 239.255.255.250。這樣就只剩下 192.168.178.6 和 192.168.178.25。由于 192.168.178.6 本身就是文件服務(wù)器，我們可以認(rèn)為 192.168.178.25 是唯一的其他主機(jī)。
通過(guò)對(duì) 192.168.178.25 進(jìn)行過(guò)濾，我們可以調(diào)查與該 IP 連接的所有通信模式。如果只有一個(gè)流向 192.168.178.22，我們就可以認(rèn)為 192.168.178.25 是零號(hào)病人。
四、ARP 欺騙
在下面的示例中，客戶(hù)數(shù)據(jù)中心網(wǎng)絡(luò) IDS 報(bào)告了一次 ARP 欺騙攻擊。IDS 告訴我們，IP 地址 192.168.178.21 受此攻擊影響。我們需要獲取攻擊者的 MAC 地址，以便在網(wǎng)絡(luò)中搜索攻擊者所在的交換機(jī)和相應(yīng)端口。
客戶(hù)數(shù)據(jù)中心 IP 網(wǎng)絡(luò)是靜態(tài)尋址的，因此我們只能看到 IP 和 MAC 地址之間一對(duì)一的映射。我們進(jìn)入本地資產(chǎn)儀表板，使用 IOTA 調(diào)查此 IDS 警報(bào)。

圖 5：導(dǎo)航至本地資產(chǎn)儀表板

然后，我們可以通過(guò)執(zhí)行過(guò)濾規(guī)則 “IP_SRC = 192.168.178.21 ”來(lái)過(guò)濾源 IP 地址。我們可以在 “客戶(hù)端清單列表 ”下看到兩個(gè) MAC 地址。MAC 地址 14:1A:97:9E:AC:D5 是原始 Mac 地址。因此，攻擊者的 MAC 地址為 60:3E:5F:36:2B:5B，如下圖所示。

圖 6：我們可以看到關(guān)于 IP 地址 192.168.178.21 的兩個(gè) MAC 地址。因此，我們擁有兩個(gè) MAC 地址

現(xiàn)在，我們已經(jīng)掌握了在網(wǎng)絡(luò)上搜索交換機(jī)上攻擊者定位所需的全部信息。
五、TLS 降級(jí)
另一個(gè)例子是，我們連接到 TAP 的 IDS 系統(tǒng)生成了 TLS 降級(jí)攻擊警報(bào)信息。受影響的公司策略只允許 TLS 版本 1.2 和 1.3，因此我們需要調(diào)查哪些主機(jī)正在使用 TLS 版本 1.0 或 1.1。為此，我們導(dǎo)航到 SSL/TLS 概述儀表板。

圖 7：導(dǎo)航至 SSL/TLS 概述控制面板

在 SSL/TLS 總覽儀表板上，我們可以看到使用 TLS 1.1 或 1.0 的不安全配置，以及 SSL/TLS 服務(wù)器的配置欄。
如下圖所示，我們可以通過(guò) “TLS_SERVER_VERSION < TLSv1.2 ”進(jìn)行過(guò)濾，只獲取不安全連接。在這里，我們有一臺(tái) IP 地址為 192.168.178.6 的服務(wù)器，它的 TLSv1 和 TLSv1.1 已激活，我們有 160 個(gè)流量受到不安全傳輸加密方法的影響。我們現(xiàn)在知道，只有這臺(tái)服務(wù)器會(huì)受到這種攻擊的影響。

圖 8：帶有不安全 TLS 版本過(guò)濾器的 SSL/TLS 總覽儀表板

之后，我們要調(diào)查該服務(wù)器是否也啟用了安全版本。在 SSL/TLS 總覽控制面板上，我們創(chuàng)建了 “IP_DST=192.168.178.6 ”過(guò)濾器，以便根據(jù)受影響的目標(biāo) IP 地址進(jìn)行過(guò)濾。我們可以看到，該服務(wù)器也啟用了 TLSv1.2 和 TLSv1.3 安全版本。因此，我們可以認(rèn)為該服務(wù)器受到了 TLS 降級(jí)攻擊的影響。

圖 9：SSL/TLS 概述儀表板，顯示 IP 地址 192.168.178.6 提供的所有 TLS 版本

六、端口掃描
我們的下一個(gè)安全事件由終端保護(hù)生成。IOTA 可以識(shí)別端口掃描并清除產(chǎn)生掃描的主機(jī)。因此，我們需要導(dǎo)航到 TCP 分析儀表板。

圖 10：導(dǎo)航至 TCP 分析儀表板

在 “TCP 分析 ”面板上，我們可以過(guò)濾 “不完整的 3 路或無(wú)數(shù)據(jù)（Incomplete 3-way w/o Data）”。這有助于我們將所謂的 TCP 半開(kāi)啟作為不完整三向進(jìn)行檢查。
TCP 半開(kāi)放有助于識(shí)別發(fā)送 SYN、等待 SYN/ACK 并保持握手開(kāi)放的攻擊者。攻擊者可以在不通過(guò) ACK 完成 TCP 握手的情況下獲得開(kāi)放端口的信息。某些情況下會(huì)顯示握手?jǐn)?shù)據(jù)而不傳輸數(shù)據(jù)，這表明端口掃描。

圖 11：帶有源 IP 地址和目標(biāo) IP 地址過(guò)濾器的 TCP 分析儀表板，以及我們的指標(biāo) “不完整 3 路 ”和 “無(wú)數(shù)據(jù)”

七、為記錄目的導(dǎo)出數(shù)據(jù)
有時(shí)，需要導(dǎo)出捕獲的數(shù)據(jù)以進(jìn)行徹底的取證分析或進(jìn)一步調(diào)查。這一過(guò)程可按需或主動(dòng)執(zhí)行，確保我們不受 IOTA 存儲(chǔ)容量的限制。
我們可以導(dǎo)航到左側(cè)菜單中的 “IOTA 數(shù)據(jù)庫(kù) ”選項(xiàng)，以方便進(jìn)行此操作。隨后，我們可以進(jìn)入 “捕獲導(dǎo)出”，選擇首選協(xié)議，即 WebDAV 或 FTP。單擊 “應(yīng)用 ”啟動(dòng)導(dǎo)出流程，即可配置憑證和錯(cuò)誤處理。按照該協(xié)議，捕獲的數(shù)據(jù)將以 PCAP 文件的形式上傳到指定的服務(wù)器，每隔三十秒上傳一次。

圖 12：定期導(dǎo)出到 WebDAV 服務(wù)器

IOTA 固態(tài)硬盤(pán)上的所有捕獲數(shù)據(jù)都可以作為 PCAPNG 文件在 IOTA 數(shù)據(jù)保險(xiǎn)庫(kù)的 “捕獲文件 ”部分進(jìn)行訪(fǎng)問(wèn)。IOTA 每三十秒生成一次新的 PCAPNG 文件。我們可以按開(kāi)始時(shí)間選擇所需的數(shù)據(jù)，然后點(diǎn)擊下載。下載捕獲文件后，我們可以根據(jù)需要在 Wireshark 中分析有效載荷。

圖 13：選擇并下載 PCAPNG 文件，以便在 Wireshark 中進(jìn)行進(jìn)一步研究

結(jié)論
IOTA 允許靈活的網(wǎng)絡(luò)集成和捕獲選項(xiàng)，以便對(duì)安全警報(bào)做出反應(yīng)。捕獲可以在報(bào)告警報(bào)后按需進(jìn)行，也可以作為永久滾動(dòng)捕獲進(jìn)行。
建議采用永久捕獲方式，以便在警報(bào)發(fā)出后立即提供所需數(shù)據(jù)進(jìn)行分析。
流量可以簡(jiǎn)單地導(dǎo)出為 PCAPNG，然后在需要時(shí)導(dǎo)入進(jìn)行分析。IOTA 使我們能夠使用提供的儀表板快速有效地分析惡意通信模式。靈活的過(guò)濾器組合和深入分析選項(xiàng)可加快根本原因分析。

審核編輯 黃宇