如何使用 IOTA?分析安全漏洞的連接嘗試

IOTA簡介：IOTA是一款功能強大的網(wǎng)絡(luò)捕獲和分析解決方案，適用于邊緣和核心網(wǎng)絡(luò)。IOTA系列包括便攜式 EDGE型號、高速 CORE型號和 IOTA CM集中設(shè)備管理系統(tǒng)。IOTA解決方案可為分支機構(gòu)、中小企業(yè)和核心網(wǎng)絡(luò)（如數(shù)據(jù)中心）提供快速高效的網(wǎng)絡(luò)分析和故障排除功能。

問題描述

安全分析師和取證專家經(jīng)常需要分析哪個客戶端在什么時間與特定目標(biāo)系統(tǒng)建立了連接。傳統(tǒng)的外圍防火墻可以記錄來自廣域網(wǎng)的連接嘗試，但無法檢測到內(nèi)部網(wǎng)絡(luò)的橫向移動。因此，存在一個需要消除的 “盲點”。

下面的示例逐步概述了如何在發(fā)生安全事件后利用艾體寶 IOTA分析連接設(shè)置。目標(biāo)是識別受感染的主機或?qū)阂獯a傳播到網(wǎng)絡(luò)內(nèi)部文件服務(wù)器的主機。

準(zhǔn)備工作

要想取得成功，IOTA必須在事件發(fā)生前捕獲網(wǎng)絡(luò)流量，以便事后進行回顧分析。

第一步，準(zhǔn)備物理接口。為此，我們使用左側(cè)菜單樹導(dǎo)航到捕獲頁面，然后導(dǎo)航到接口配置部分。如下圖所示，接口被配置為具有 10/100/1000 Mbit/s自動協(xié)商功能的 SPAN（帶外），這意味著兩個物理接口都可以接收來自 SPAN端口或 TAP的待分析流量。

圖1?物理接口的配置。在這種情況下，采用 SPAN?模式的 10/100/1000 Mbit/s?自動協(xié)商

IOTA 的部署或集成

交換機的上行鏈路可用作 SPAN源，包括多個客戶端 VLAN。如果要將 IOTA內(nèi)聯(lián)集成到數(shù)據(jù)流中，例如在接入交換機和路由器之間或接入交換機和分配交換機之間，則必須勾選 “內(nèi)聯(lián)模式 ”旁邊的復(fù)選框，并單擊 “保存 ”按鈕。這取決于 VLAN網(wǎng)關(guān)的位置。如果要記錄進出特定服務(wù)器的流量以便日后分析，也可以在數(shù)據(jù)中心的交換機和服務(wù)器之間進行內(nèi)聯(lián)操作。

圖2 IOTA在數(shù)據(jù)包平均處理和后續(xù)安全事件分析中的位置

開始捕獲

放置好 IOTA并準(zhǔn)備好物理接口后，我們連接適當(dāng)?shù)碾娎|，然后導(dǎo)航到捕獲控制部分并單擊屏幕底部的開始捕獲按鈕，啟動捕獲過程?；蛘?，我們也可以按下 IOTA設(shè)備上的物理 “開始捕獲 ”按鈕來啟動捕獲過程。這將加快整個過程，未經(jīng)培訓(xùn)或沒有權(quán)限的人員也可以進行操作。

圖3?使用 “捕獲控制 ”子菜單中的 “開始捕獲 ”按鈕啟動捕獲

儀表盤故障排除

要識別所謂的 “零號病人（patient zero）”，我們需要兩種方法。第一種是確定哪個客戶端連接到了命令和控制服務(wù)器 (C2)或惡意軟件分發(fā)服務(wù)器（如果已知）。第二種方法是將受影響的服務(wù)器或客戶端作為基線，分析哪些其他系統(tǒng)與其建立了連接。

名詞解釋：在網(wǎng)絡(luò)安全領(lǐng)域，“Patient Zero”（零號病人）是一個重要的概念，用于描述首次感染惡意軟件或病毒的用戶或設(shè)備。其識別和防御對于控制惡意軟件的傳播至關(guān)重要。

例如，如果這是一種已知的攻擊，可以通過特定的勒索軟件信息檢測到，那么就有可能專門搜索通信模式，如特定的目標(biāo)端口。我們也以此為例。我們假設(shè)一個文件服務(wù)器受到勒索軟件攻擊，該服務(wù)器通過網(wǎng)絡(luò)上的服務(wù)器消息塊（SMB）提供服務(wù)。服務(wù)器的 IPv4地址是 192.168.178.6。

我們知道 SMB通過 TCP端口 445運行，因此在概述儀表板上對該目標(biāo)端口和之前提到的 IP地址 192.168.178.6進行了過濾。結(jié)果顯示，在加密時間窗口內(nèi)，只有 192.168.178.22客戶端與文件服務(wù)器建立了 SMB連接。

圖4 IP?地址 192.168.178.6?和目標(biāo)端口 445?的過濾器

我們還可通過過濾器 “IP_SRC = 192.168.178.22”在 “概覽 ”儀表板上檢查客戶端 192.168.178.22在不久前建立了哪些通信關(guān)系，以確定是否發(fā)生了命令和控制流量或下載。

在儀表盤的底部，我們可以查看 “流量列表 ”中過濾后的流量數(shù)據(jù)。從中我們可以看到，之前只有一次通信嘗試離開了內(nèi)部網(wǎng)絡(luò)。具體來說，這是一個目標(biāo)端口為 443 的 TLS TCP連接，即 HTTPS，目標(biāo) IP地址為 91.215.100.47。

圖5?基于概覽儀表盤底部過濾源主機的通信關(guān)系

根據(jù)這些流量數(shù)據(jù)，我們可以通過屏幕右上角的導(dǎo)航菜單切換到 SSL/TLS總覽面板，查看與哪個服務(wù)器名稱建立了連接。這可以在客戶端 “hello” 中看到，或者更具體地說，在 TLS擴展服務(wù)器名稱指示（SNI）中看到。其中包含與客戶端建立連接的主機名。

圖6?通過導(dǎo)航菜單切換到 SSL/TLS?總覽面板

在 SSL/TLS總覽面板的 SSL/TLS服務(wù)器列表中，我們可以看到與客戶端建立連接的服務(wù)器名稱 “config.ioam.de”。

圖7 SSL/TLS?概述儀表板，其中我們可以看到 TLS?客戶端 hello?中的服務(wù)器名稱

由于 TLS加密意味著下載本身無法以純文本形式識別，因此必須在日志文件中對客戶端進行進一步分析。隨后確定用戶下載并安裝了一個應(yīng)用程序。這就通過分析的 SMB網(wǎng)絡(luò)共享執(zhí)行了文件加密過程。這樣，我們就掌握了導(dǎo)致攻擊的 IP地址、主機名和文件。不過，在某些情況下，下載惡意軟件的服務(wù)器只是攻擊者的 “前端服務(wù)器”，而這些服務(wù)器也會不時發(fā)生變化。

由于網(wǎng)絡(luò)中的橫向移動在攻擊事件中經(jīng)常被檢測到，因此還應(yīng)檢查其他客戶端，因為受影響的客戶端也可能已經(jīng)分發(fā)了惡意軟件。如果在受影響的客戶端上看不到任何外部通信關(guān)系，則應(yīng)檢查所有內(nèi)部通信模式，以發(fā)現(xiàn)可能將惡意軟件帶到客戶端 192.168.178.22的異常情況。

如果我們需要檢查哪些主機試圖連接到似乎提供惡意軟件的特定服務(wù)器，我們也可以使用 IOTA進行檢查。如果有已知的 FQDN與這些服務(wù)器相關(guān)，我們可以使用 DNS概述儀表板。

圖8?通過導(dǎo)航菜單切換到 DNS?概述儀表板

我們切換到 “DNS概述 ”控制面板，并使用 “搜索 DNS”過濾器按名稱進行搜索。我們使用了域名 akamaitechcloudservices.com，它聽起來像是一個內(nèi)容交付網(wǎng)絡(luò)的連接嘗試，但已知是一個在安全事件中使用的惡意服務(wù)器。

圖9?通過名稱 akamaitechcloudservices.com?進行搜索

搜索后，我們可以看到 DNS在晚上 9:20左右請求了該惡意服務(wù)器。要進一步調(diào)查哪個客戶端試圖連接到該服務(wù)器，我們可以進入 DNS概述儀表板，查看請求 akamaitechcloudservices.com的客戶端 IP地址。在圖 10的示例中，它是 192.168.178.22?，F(xiàn)在我們知道是哪個客戶端試圖連接該服務(wù)器了。

圖10 DNS查詢/響應(yīng)和相應(yīng)的流量流表

IOTA 的優(yōu)勢

IOTA 提供多種選項，用于過濾相關(guān)通信模式和時間窗口，以進行安全分析。此外，與其他工具相比，它還提供了直觀的儀表板，即使沒有深入?yún)f(xié)議知識的人也能簡化和加速分析。

了解 ITT-IOTA更多信息，歡迎前往【艾體寶】官方網(wǎng)站！

審核編輯 黃宇