0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

如何使用 IOTA?分析安全漏洞的連接嘗試

laraxu ? 來源:laraxu ? 作者:laraxu ? 2024-09-29 10:19 ? 次閱讀

IOTA簡介:IOTA是一款功能強大的網絡捕獲和分析解決方案,適用于邊緣和核心網絡。IOTA系列包括便攜式 EDGE型號、高速 CORE型號和 IOTA CM集中設備管理系統(tǒng)。IOTA解決方案可為分支機構、中小企業(yè)和核心網絡(如數(shù)據(jù)中心)提供快速高效的網絡分析和故障排除功能。

問題描述

安全分析師和取證專家經常需要分析哪個客戶端在什么時間與特定目標系統(tǒng)建立了連接。傳統(tǒng)的外圍防火墻可以記錄來自廣域網的連接嘗試,但無法檢測到內部網絡的橫向移動。因此,存在一個需要消除的 “盲點”。

下面的示例逐步概述了如何在發(fā)生安全事件后利用艾體寶 IOTA分析連接設置。目標是識別受感染的主機或將惡意代碼傳播到網絡內部文件服務器的主機。

準備工作

要想取得成功,IOTA必須在事件發(fā)生前捕獲網絡流量,以便事后進行回顧分析。

第一步,準備物理接口為此,我們使用左側菜單樹導航到捕獲頁面,然后導航到接口配置部分。如下圖所示,接口被配置為具有 10/100/1000 Mbit/s自動協(xié)商功能的 SPAN(帶外),這意味著兩個物理接口都可以接收來自 SPAN端口或 TAP的待分析流量。

wKgaomb4uAmAB9SdAAXkzG4-ck0517.png圖1?物理接口的配置。在這種情況下,采用 SPAN?模式的 10/100/1000 Mbit/s?自動協(xié)商

IOTA 的部署或集成

交換機的上行鏈路可用作 SPAN源,包括多個客戶端 VLAN。如果要將 IOTA內聯(lián)集成到數(shù)據(jù)流中,例如在接入交換機和路由器之間或接入交換機和分配交換機之間,則必須勾選 “內聯(lián)模式 ”旁邊的復選框,并單擊 “保存 ”按鈕。這取決于 VLAN網關的位置。如果要記錄進出特定服務器的流量以便日后分析,也可以在數(shù)據(jù)中心的交換機和服務器之間進行內聯(lián)操作。

wKgZomb4uCOARiqhAAX89n8iuU0416.png圖2 IOTA在數(shù)據(jù)包平均處理和后續(xù)安全事件分析中的位置

開始捕獲

放置好 IOTA并準備好物理接口后,我們連接適當?shù)碾娎|,然后導航到捕獲控制部分并單擊屏幕底部的開始捕獲按鈕,啟動捕獲過程?;蛘?,我們也可以按下 IOTA設備上的物理 “開始捕獲 ”按鈕來啟動捕獲過程。這將加快整個過程,未經培訓或沒有權限的人員也可以進行操作。

wKgZomb4uDmAbBcxAAWPgUEts9c209.png圖3?使用 “捕獲控制 ”子菜單中的 “開始捕獲 ”按鈕啟動捕獲

儀表盤故障排除

要識別所謂的 “零號病人(patient zero)”,我們需要兩種方法。第一種是確定哪個客戶端連接到了命令和控制服務器 (C2)或惡意軟件分發(fā)服務器(如果已知)。第二種方法是將受影響的服務器或客戶端作為基線,分析哪些其他系統(tǒng)與其建立了連接。

名詞解釋:在網絡安全領域,“Patient Zero”(零號病人)是一個重要的概念,用于描述首次感染惡意軟件或病毒的用戶或設備。其識別和防御對于控制惡意軟件的傳播至關重要。

例如,如果這是一種已知的攻擊,可以通過特定的勒索軟件信息檢測到,那么就有可能專門搜索通信模式,如特定的目標端口。我們也以此為例。我們假設一個文件服務器受到勒索軟件攻擊,該服務器通過網絡上的服務器消息塊(SMB)提供服務。服務器的 IPv4地址是 192.168.178.6。

我們知道 SMB通過 TCP端口 445運行,因此在概述儀表板上對該目標端口和之前提到的 IP地址 192.168.178.6進行了過濾。結果顯示,在加密時間窗口內,只有 192.168.178.22客戶端與文件服務器建立了 SMB連接。

wKgZomb4uFOAYzPLAAWW5K0OIa0304.png圖4 IP?地址 192.168.178.6?和目標端口 445?的過濾器

我們還可通過過濾器 “IP_SRC = 192.168.178.22”在 “概覽 ”儀表板上檢查客戶端 192.168.178.22在不久前建立了哪些通信關系,以確定是否發(fā)生了命令和控制流量或下載。

在儀表盤的底部,我們可以查看 “流量列表 ”中過濾后的流量數(shù)據(jù)。從中我們可以看到,之前只有一次通信嘗試離開了內部網絡。具體來說,這是一個目標端口為 443 的 TLS TCP連接,即 HTTPS,目標 IP地址為 91.215.100.47。

wKgZomb4uGWAbhPwAAD_JnosQAU032.png圖5?基于概覽儀表盤底部過濾源主機的通信關系

根據(jù)這些流量數(shù)據(jù),我們可以通過屏幕右上角的導航菜單切換到 SSL/TLS總覽面板,查看與哪個服務器名稱建立了連接。這可以在客戶端 “hello” 中看到,或者更具體地說,在 TLS擴展服務器名稱指示(SNI)中看到。其中包含與客戶端建立連接的主機名。

wKgZomb4uHuADcxcAAPYHr6dnMI565.png圖6?通過導航菜單切換到 SSL/TLS?總覽面板

在 SSL/TLS總覽面板的 SSL/TLS服務器列表中,我們可以看到與客戶端建立連接的服務器名稱 “config.ioam.de”。

wKgaomb4uIyAM7NbAAaXzbtKneg742.png圖7 SSL/TLS?概述儀表板,其中我們可以看到 TLS?客戶端 hello?中的服務器名稱

由于 TLS加密意味著下載本身無法以純文本形式識別,因此必須在日志文件中對客戶端進行進一步分析。隨后確定用戶下載并安裝了一個應用程序。這就通過分析的 SMB網絡共享執(zhí)行了文件加密過程。這樣,我們就掌握了導致攻擊的 IP地址、主機名和文件。不過,在某些情況下,下載惡意軟件的服務器只是攻擊者的 “前端服務器”,而這些服務器也會不時發(fā)生變化。

由于網絡中的橫向移動在攻擊事件中經常被檢測到,因此還應檢查其他客戶端,因為受影響的客戶端也可能已經分發(fā)了惡意軟件。如果在受影響的客戶端上看不到任何外部通信關系,則應檢查所有內部通信模式,以發(fā)現(xiàn)可能將惡意軟件帶到客戶端 192.168.178.22的異常情況。

如果我們需要檢查哪些主機試圖連接到似乎提供惡意軟件的特定服務器,我們也可以使用 IOTA進行檢查。如果有已知的 FQDN與這些服務器相關,我們可以使用 DNS概述儀表板。

wKgZomb4uJ6AK2uUAAS8zs1Polo811.png圖8?通過導航菜單切換到 DNS?概述儀表板

我們切換到 “DNS概述 ”控制面板,并使用 “搜索 DNS”過濾器按名稱進行搜索。我們使用了域名 akamaitechcloudservices.com,它聽起來像是一個內容交付網絡的連接嘗試,但已知是一個在安全事件中使用的惡意服務器。

wKgaomb4uLGAWhqvAAWTMJRxxLU730.png圖9?通過名稱 akamaitechcloudservices.com?進行搜索

搜索后,我們可以看到 DNS在晚上 9:20左右請求了該惡意服務器。要進一步調查哪個客戶端試圖連接到該服務器,我們可以進入 DNS概述儀表板,查看請求 akamaitechcloudservices.com的客戶端 IP地址。在圖 10的示例中,它是 192.168.178.22?,F(xiàn)在我們知道是哪個客戶端試圖連接該服務器了。

wKgZomb4uMKAB8EGAAGscQUKPog403.png圖10 DNS查詢/響應和相應的流量流表

IOTA 的優(yōu)勢

IOTA 提供多種選項,用于過濾相關通信模式和時間窗口,以進行安全分析。此外,與其他工具相比,它還提供了直觀的儀表板,即使沒有深入?yún)f(xié)議知識的人也能簡化和加速分析。

了解 ITT-IOTA更多信息,歡迎前往【艾體寶】官方網站!

審核編輯 黃宇

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 網絡安全
    +關注

    關注

    10

    文章

    3159

    瀏覽量

    59752
  • 安全漏洞
    +關注

    關注

    0

    文章

    151

    瀏覽量

    16712
  • Iota
    +關注

    關注

    0

    文章

    28

    瀏覽量

    8392
收藏 人收藏

    評論

    相關推薦

    VoIP?網絡排障新思路:從日志到 IOTA?分析

    VoIP 網絡需要高可用性與低延遲,但復雜的問題如 SIP 403 錯誤常導致服務中斷。傳統(tǒng)的日志和基本流量分析方法往往耗時低效,而 IOTA 工具通過實時流量捕獲與深入分析,大幅提高排障效率。本文
    的頭像 發(fā)表于 12-24 14:35 ?93次閱讀
    VoIP?網絡排障新思路:從日志到 <b class='flag-5'>IOTA</b>?<b class='flag-5'>分析</b>

    對稱加密技術有哪些常見的安全漏洞?

    對稱加密技術在實際應用中可能面臨的安全漏洞主要包括: 實現(xiàn)不當: 錯誤的加解密實現(xiàn)、弱隨機數(shù)生成器或其他邏輯錯誤都可能導致安全漏洞。 漏洞利用: 利用已知的弱點或攻擊手段,如理論上可行的分組攻擊或側
    的頭像 發(fā)表于 12-16 13:59 ?99次閱讀

    物聯(lián)網系統(tǒng)的安全漏洞分析

    隨著物聯(lián)網技術的快速發(fā)展,越來越多的設備被連接到互聯(lián)網上,從智能家居、智能城市到工業(yè)自動化,物聯(lián)網的應用范圍不斷擴大。然而,隨著物聯(lián)網設備的增多,安全問題也日益凸顯。 一、物聯(lián)網系統(tǒng)安全漏洞的成因
    的頭像 發(fā)表于 10-29 13:37 ?372次閱讀

    網絡安全指南:如何使用Profishark和IOTA檢測Blast-RADIUS

    何使用 ProfiShark 和 IOTA 工具進行數(shù)據(jù)包捕獲和分析,以檢測系統(tǒng)是否存在漏洞。最后,文章提供了兩種應對該漏洞的有效解決方案:通過 "Message-Authentica
    的頭像 發(fā)表于 10-18 11:15 ?285次閱讀
    網絡<b class='flag-5'>安全</b>指南:如何使用Profishark和<b class='flag-5'>IOTA</b>檢測Blast-RADIUS

    漏洞掃描一般采用的技術是什么

    漏洞掃描是一種安全實踐,用于識別計算機系統(tǒng)、網絡或應用程序中的安全漏洞。以下是一些常見的漏洞掃描技術: 自動化漏洞掃描 : 網絡掃描 :使用
    的頭像 發(fā)表于 09-25 10:27 ?364次閱讀

    漏洞掃描的主要功能是什么

    漏洞掃描是一種網絡安全技術,用于識別計算機系統(tǒng)、網絡或應用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來獲取未授權訪問、數(shù)據(jù)泄露或其他形式的攻擊。
    的頭像 發(fā)表于 09-25 10:25 ?408次閱讀

    艾體寶干貨 如何使用IOTA進行遠程流量數(shù)據(jù)采集分析

    本文詳細介紹了如何使用艾體寶IOTA設備進行遠程流量數(shù)據(jù)采集與分析,特別適用于分布式網絡、多站點管理和受限訪問環(huán)境。通過IOTA的遠程管理功能和ZeroTier VPN技術,即使在偏遠或訪問受限的區(qū)域,也能高效進行網絡流量監(jiān)控和
    的頭像 發(fā)表于 09-02 17:20 ?277次閱讀
    艾體寶干貨 如何使用<b class='flag-5'>IOTA</b>進行遠程流量數(shù)據(jù)采集<b class='flag-5'>分析</b>

    艾體寶干貨 IOTA流量分析秘籍第三招:檢測黑名單上的IP地址

    艾體寶干貨 | IOTA流量分析秘籍第三招:檢測黑名單上的IP地址 IOTA 設備提供 RESTful API,允許直接訪問存儲在設備上的數(shù)據(jù)。這對于集成到各種場景中非常有用。在本例中,可以過濾當前
    的頭像 發(fā)表于 07-16 11:48 ?386次閱讀
    艾體寶干貨 <b class='flag-5'>IOTA</b>流量<b class='flag-5'>分析</b>秘籍第三招:檢測黑名單上的IP地址

    小米科技高級安全專家:智能汽車Tbox安全漏洞分析

    GeekPwn和汽車安全比賽并榮獲多項大獎。精通IOT、移動端和車聯(lián)網安全。在車聯(lián)網安全體系建設和漏洞挖掘上有著豐富的安全經驗和深入的研究。
    的頭像 發(fā)表于 05-27 14:31 ?1243次閱讀
    小米科技高級<b class='flag-5'>安全</b>專家:智能汽車Tbox<b class='flag-5'>安全漏洞</b><b class='flag-5'>分析</b>

    Adobe修復35項安全漏洞,主要涉及Acrobat和FrameMaker

    值得關注的是,Adobe對Acrobat及Acrobat Reader軟件的漏洞修復最為重視,共修復了12個漏洞,其中9個為“遠程執(zhí)行代碼”嚴重漏洞,主要由RAM的“Use After Free”類型
    的頭像 發(fā)表于 05-16 15:12 ?735次閱讀

    PuTTY等工具曝嚴重安全漏洞:可還原私鑰和偽造簽名

    據(jù)報道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。僅需使用60個簽名,攻擊者即可還原私鑰。為應對此風險,官方更新推出0.81版本,呼吁使用者盡快升級。
    的頭像 發(fā)表于 04-18 10:06 ?671次閱讀

    微軟修復兩個已被黑客利用攻擊的零日漏洞

    此次更新的精英賬號“泄露型”安全漏洞(代號:CVE-2024-26234)源于代理驅動程序欺騙漏洞。蘿卜章利用可信的微軟硬件發(fā)布證書簽名惡意驅動程序。
    的頭像 發(fā)表于 04-10 14:39 ?557次閱讀

    iOS 17.4.1修復兩安全漏洞,涉及多款iPhone和iPad

     據(jù)報道,iOS/iPadOS17.4.1主要解決了Google Project Zero團隊成員Nick Galloway發(fā)現(xiàn)并報告的兩大安全漏洞(CVE-2024-1580)。
    的頭像 發(fā)表于 03-26 10:47 ?737次閱讀

    蘋果承認GPU存在安全漏洞

    蘋果公司近日確認,部分設備中的圖形處理器存在名為“LeftoverLocals”的安全漏洞。這一漏洞可能影響由蘋果、高通、AMD和Imagination制造的多種圖形處理器。根據(jù)報告,iPhone 12和M2 MacBook Air等設備也受到了這一
    的頭像 發(fā)表于 01-18 14:26 ?682次閱讀

    源代碼審計怎么做?有哪些常用工具

    源代碼審計是一種通過檢查源代碼來發(fā)現(xiàn)潛在的安全漏洞的方法。 下面是常用的源代碼審計工具: 1、Fortify:通過內置的五大主要分析引擎,對源代碼進行靜態(tài)分析,并與特有的軟件安全漏洞規(guī)
    發(fā)表于 01-17 09:35