HW之流量告警分析思路

一、流量告警分析中常见的问题

1.安全告警DDOS

实时安全威胁日志在单位时间内大批量触发，导致安全管理人员高强度工作，在分析某安全事件过程中新的告警事件出现导致处置不及时给网络带来安全隐患。

2.误报问题始终无法很好的闭环

客户网络中存在着较多因软件服务开发原因导致安全告警误报问题。且以最严格策略配置白名单后仍可以增加真正的攻击行为被忽略的风险

3.威胁信息验证受阻

安全流量分析过程中受网络策略、用户权限控制等原因导致安全人员对实际情况验证较为困难

4.宽泛的只是涉略面

安全流量分析本身涉及的知识面较广且技术更新速度较快，不同服务器、安全产品外送日志格式均不同，从一定程度上增加了安全分析技术人员工作难度

二、分析前准备工作及注意事项

1.对客户单位现阶段的网络现状有初步的认识（流量大小、内网业务系统数量等）。

2.落实安全设备部署位置，是否对内外网流量实现全覆盖。

3.检验安全设备硬件性能、规则策略等参数信息。

4.确认安全设备运行期间功能策略的调整（过滤某些非常用端口、白名单策略）工作。

5. 借助业界主流业务流量分析软件进行数据分析。（Ethereal、Wrieshark）

6. 借助安全情报网站、情报社区，多途径验证威胁信息的真实性。（ti.dbappsecurity.com.cn、x.threatbook.cn）

7.分析过程中发现的问题灵活应对，主动帮助优化策略。（针对客户单位高频出现的内网网站开发不完善导致的安全告警误报信息，在取得客户同意的前提下进行白名单添加，白名单的添加原则尽量做到精细。

三、安全威胁事件分析

·WEB特征检测-SQL注入、XSS、后门访问

攻击者意图初步分析：通过非法手段探测web页面返回信息寻找薄弱点进行漏洞利用。

威胁分析标签：敏感字段请求、数据流的方向、判断是否为误报

威胁分析思路：

1. SQL注入特征语句: select * from *** 、and/or *** 、xx=xx 、union ***、waitfor ***。

2. XXS特征语句：script 、javascript、alert、IMG src=JaVaScRiPt:AlErT(“1”)。

3. Web后门访问语句：/etc/passwd、/var/log/xx.log、**.config、**.mdb、**.exe。

4. 优先查询请求响应成功的攻击；

5. 以源地址或目的地址作为筛选条件，利用“统计模型”思路进行分析，若近期一个/多个地址持续向某服务器发起数量较为均衡的攻击，多为误报信息，若短时间内某地址发起大量攻击行为，多为异常安全事件,恶意攻击发生概率较高。

6.查看攻击的详细页面，可借助AiLPHA or APT可以直观展示已标红相应的特征串，通过返回内容字段进行分析研判。加好友stonefor345进行HW交流群。

7.内到外的攻击也应着重分析处理，可能是内网主机成为了肉机，在对外发起攻击。

·WEB特征检测-SQL注入

SQL注入攻击涉及面较广，需要我们了解sql语句大体的含义后识别攻击者的攻击意图。如下所示攻击者尝试筛选系统管理员表的敏感信息。

误报情况：全天触发高频率安全告警且攻击数据流方向为内到内的无敏感sql攻击字段的日志多为误报

·WEB特征检测-XSS攻击

'><script>alert(helloword)</script>

<IMG src=JaVaScRiPt:alert('XSS')>

%22%3cscript%3ealert(%22xss%22)%3c/script%3e

误报信息，请求字段包含一些中文内容或请求语句包含“script” 语句的报文例如InstallScript ，这种情况应该结合客户的业务情况来分析

·WEB特征检测-绝对路径后门访问

cat /etc/passwd

root **/bin/bash

误报信息：某些网站因开发不完善使用了部分敏感字符作为后台网站路径。（shell.jsp）

·WEB特征检测-WEB后门访问

攻击者意图初步分析：通过非法手段探测服务器后门信息或上传木马程序截获相关敏感信息。

威胁分析标签：攻击方向以及判断是不是误报

1.优先针对内部重要web服务器IP进行查询；

2.重点查询扫描探测类攻击，短时间外网IP频繁发起“服务后门”访问行为，可能属于黑客通过工具发起WEBSHELL扫描，尝试是否存在webshell后门；如果出现攻击成功的，可以在浏览器地址输入栏输入风险告警中的URL，判断是否存在账户、密码、其他可疑的输入口，从而判断是不是误报；确认不是误报，立即进行应急处置；

3.发现内网主机对内或对外发起攻击，首先看攻击频率，如果攻击频率较高，且不是内网渗透者所为，很有可能是内网主机成为了肉机，在对其他主机发起了攻击。

·安全事件分析-挖矿

攻击者意图初步分析：利用服务器后门植入非法挖矿程序进行挖矿，从而获取虚拟币牟利。

威胁分析标签：数据方向多为内到外

1.挖矿的报警，是根据传输的内容特征进行检测的，有2类，一类是登录到矿池（method“:”login“）、一类是从矿池接收任务（”method“:”job“）。#method 请求方法

2. 利用威胁情报网站（ti.dbappsecurity.com.cn、x.threatbook.cn）对挖矿回连地址进行查询。加好友stonefor345进行HW交流群。

3.查看详细信息，可以看到有个json结构，里面会有特殊的字段，除非正常通讯的内容和挖矿格式、内容类似，否则误报的机率较低。

·安全事件分析-暴力破解

攻击者意图初步分析：利用服务认证缺陷，使用登录口令字典库进行高频率尝试从而获取服务权限。

威胁分析标签：区分好外部攻击内部和内部攻击外部

1. 暴力破解攻击因业务系统开发原因存在着较多的误报信息，其中误报类型多为 异常 连接。

2. HTTP暴力破解登录失败的报警也需要重点进行关注。（有些登录后返回code为200 ，返回内容中提示登录失败则APT会认为登录失败、其他登录未成功操作为尝试登录，FTP暴力破解成功返回码为230需重点关注）

3. 关注攻击源是内部还是外部，如果是外部攻击内部，建议在服务器端查看系统日志，有没有异常登陆成功情况，提醒用户注意密码强度，及时更换密码，如果是内部攻击内部或外部，需要考虑是不是有员工故意破坏，或者主机失陷的情况；

4.针对暴力破解成功的告警首要工作验证用户破解的账户的真实性，若验证成功且确认为非授权访问则进行下阶段告警处置操作。

安全事件分析-弱口令

弱口令多为内部工作员工安全意识不足导致的安全隐患。

威胁分析标签：误报

1. 登录口令安全威胁事件分类：弱口令、密码明文传输、密码 base64 传输。

2. 弱口令：对请求字段中登录信息进行分析验证， 根据实际环境判断是否合乎弱口令标准，（客户单位标准为 8 位数以上，数字、字母、大小写组合，平台监测弱密码为“ MOIzNDU26 ”则判断不是误报）。

3. 密码 Base64 传输需判断平台是否将 base64 编码识别为登录口令、进行编码转换后进行实际测试验证后判断，若登录失败一般确认为误报信息。

安全事件分析-恶意文件攻击

攻击者意图初步分析：诱导内部用户通过邮箱附件、web界面附件进行下载执行或客户通过非官方网站下载非正版软件导致安全隐患的发生。

安全分析标签：判断是不是误报、恶意文件ID

1.找到该恶意文件基本信息里的文件MD5/SHA1值/SHA256值等：

2.访问ti.dbappsecurity.com.cn（安恒威胁情报中心）、x.threatbook.cn（微步在线），将恶意文件的MD5值进行搜索确认：

如果网站提示有风险，基本判断不是误报。如下图：

3.由于非PE（PE是windows的标准）文件MD5值较容易变化，对MD5值进行查询判断就显得不精确了，遇到这种情况，下载样本，不要打开，直接放在杀毒软件里里进行查杀。

4. 因为APT预警平台是自带沙箱功能对恶意文件样本进行威胁监测的，如果情报中心及杀毒软件都无相关威胁报警，请把沙箱报告和文件样本发给产品组，进行分析判断。（www.virscan.org已集成我们的沙箱功能）

5.评分低于80以下需要重点关注。

安全事件分析-远程控制

威胁分析标签：判断是不是误报

1.目前远程控制告警的策略来源分为“威胁情报”、“DGA域名”、“IDS规则”

2.对于策略来源是“威胁情报”、“IDS规则”的，将URL放在开放的威胁情报库ti.dbappsecurity.com.cn或x.threatbook.cn来进行判断，如果确实是恶意回连域名则不是误报。

远程控制&DGA 域名请求

3.对于策略来源是“DGA域名”的，以及单独的DGA域名请求告警，一方面可以按照步骤2来判断，另一方面通过DGA域名访问频率来判断，如果是病毒发起的外联请求，频率较高，可以通过“原始风险信息”查看具体内容，误报机率较低。（是用dga算法生成的域名,这种域名通常硬编码在恶意软件中。 ）

安全事件分析-钓鱼邮件+发件人欺骗

监测实现原理：发件人欺骗检测引擎仅对配置的防护邮箱做针对性检测 ，目的是查看有没有人冒用本地域邮箱发送邮件。加好友stonefor345进行HW交流群。

1.该告警说明攻击者试图通过伪造数据包或伪造邮件服务器等方式来伪造指定的发件人，从而获取内网员工的信任，欺骗内网员工打开指定的URL或恶意附件，达到控制内网终端的目的。

2.处理建议：

a.建议立即通过告警信息定位邮件收件人，及时通知收件人切勿点击邮件内的URL和邮件附件等信息，并立即对该邮件进行删除，以免受到恶意病毒、木马感染；

b.建议用户开启邮件服务器的可信认证。

攻击者意图初步分析：通过伪造恶意邮件内容，诱导用户打开恶意链接或文件，进行用户侧信息获取、服务提权。

威胁分析标签：判断真实URL是不是恶意的

1.将真实链接放在ti.dbappsecurity.com.cn或x.threatbook.cn来进行判断，如果确实是恶意链接则可以通知用户处置，也可以在虚拟机里打开链接进行验证。

2.处置：建议通过告警信息定位邮件收件人和客户端IP地址，及时通知收件人切勿点击邮件内的URL链接，并立即对该邮件进行删除，以免打开攻击者伪造的钓鱼页面，从而造成财产损失。

总结：

1. 误报信息的排除有助于我们提高分析效率的关键，是拒绝“ DDOS 安全告警”的重要关键，消除误报信息配置也尤为重要，总结如下：

· 白名单配置要尽量做到 精确 ，进行最小化配置；

· 有平台的现场环境建议白名单操作在平台中添加，保障探针上报的数据的完整性，有助于我们在安全日志中进行各模型的创建二次匹配生成威胁信息。

· 区分 流量清洗 与 白名单 的使用场景。

2. http 请求字段、响应码的分析。

对解析成功的请求头、请求主体进行重点的分析，借助响应码信息验证是否利用成功。

3. 定义适合自己的字段排列组合有助于提高我们的分析效率。

开始时间、事件名称、威胁等级、攻击链、来源地址、来源安全域、来源地址详细信息、目的地址、目的主机名、目的安全域、设备名称、数据流方向、请求响应码、采集器接收时间等。

4. 基于数据流方向进行分析。

· 外到内、内到内 重点分析

· 内到外（恶意域名回连、挖矿）

· 外到外 （需要根据地址信息判断安全域配置是否完善）

四、快速分析评估阶段性安全数据

1. 使用kibana界面的的可视化、仪表盘功能进行安全日志、安全告警的“统计”，利用统计数据对正常数据、威胁数据进行分析。

2. 优先对敏感关键字段进行筛选分析。

3. 借助AiLPHA告警查询页面的+-符号对安全告警信息的源地址及目的地址做为筛选条件进行查询分析。

4. 使用SOAR自动编排功能对已知可能存在的安全威胁信息进行数据的分析筛选。

相关案例

1）. 重点查询针对内网某网站服务器来自北京方向的攻击

关键字：

1. 内网某部分网站。（如何定义内网某部分网站） destAddress 、destHostname

destAddress == “192.168.10.1”OR destAddress == “192.168.10.2” OR …….

destAddress：(192.168.10.1 192.168.10.2 ...)

2. 北京方向。（如何定义北京方向的攻击者） SrcgeoRegion == “北京”/ SrcgeoRegion: 北京

3. 重点查询并不代表只关注北京方向的攻击者信息。

2）.分析近期国外攻击者发起的各类型安全威胁事件

关键字：

1. 数据流方向-外到内 direction:10

2. 重点关注字段。srcGeoCountry 、threatSeverity

3. 以及安全事件名称为关键字统计其数量信息。

相关案例-识别已知威胁

3）. 对已知可能存在的威胁信息利用SOAR策略进行事前封堵工作。

1. 大数据平台规则模型配置较为复杂枯燥，也许SOAR策略可以帮到我们更好的理解模型配置。

2. 对近5分钟某攻击者发起5种攻击告警类型安全事件判断为恶意扫描行为，进行工单外发及邮箱的告警。（统计模型，适用于客户单位存在较多互联网暴露面核心业务且周期事件内存在较多攻击行为的场景）

3. CC 攻击上报。(统计模型，适用于业务系统访问量较大客户场景)

4. 高风险的地区攻击重点关注。（规则模型，适用于重点地区模拟演练hw场景）

5. 监测到出口防火墙、APT、蜜罐设备同时遭受同一外网地址攻击的安全事件进行通报预警处置。（关联模型，适用于客户单位存在多安全设备同时保护某服务器场景）。

作者：小辉辉辉辉辉原文链接：https://blog.csdn.net/weixin_51590879/article/details/126699413排版：HACK之道

原文始发于微信公众号（猪猪谈安全）：HW之流量告警分析思路