攻击检测自动溯源分析技战法｜大湾区金融安全专刊·安全村

互联网渠道近年来已成为金融企业交易的另一大主要渠道，相当一部分交易在互联网渠道进行。金融企业业务已经与互联网充分融合，面临的安全隐患更加复杂严峻，常规攻击持续演变、手段不断翻新，有组织、有规模的网络攻击时有发生。互联网背景下的安全风险甚至有可能迅速引发行业性、系统性事件，这些对金融企业的网络安全防护能力提出了更高、更多的要求。

入侵排查中，如何攻击溯源是一个很关键的环节，是一个收尾阶段，如何做到自动化攻击溯源，则更是技术能力的体现点。那么如何在海量的主机、日志和事件报警中寻找蛛丝马迹，去解放人力，去自动化关联分析等，是我们需要去思考的一个方向。当然高级的APT攻击不在此次思考范畴。

为了解决攻击者拥有的不对称优势，我们在公网多处网段、DMZ区、互联网出口等安全边界部署IPS、WAF、IDS、流量监控、蜜罐等安全设备。通过固定监测的防守模式动态引诱并分析攻击者，取得战场主动权。本文提供了一种威胁情报和攻击诱捕联动作战的方式，开展“高度仿真诱捕、精确威胁情报、自动联动溯源”的技战法，为网络安全攻防对抗“由守转攻”提供一种思路及方法。

一、整体谋略，构建多重防御体系

根据攻击者踩点探测、漏洞挖掘、攻击入侵、窃取数据、数据落实、清除数据、二次入侵等攻击阶段，采用针对性的克隆业务、伪装漏洞、业务仿真、诱饵反哺、攻击反制、威胁情报、精准打击、关联分析等技术手段进行防守应对，达到迷惑攻击者，诱捕攻击、溯源攻击、挫败攻击者的目的。

我们在传统安全防御体系的基础上，重点构建了情报防御体系、欺骗防御体系、自动溯源体系。自主研发自动化溯源分析系统，该系统主动检测发布在互联网的监控系统进行情报收集，基于全量DNS日志、上网行为管理日志中的请求域名信息，主动检测该域名上服务器的恶意特征行为，如远控、扫描服务特征，通过接口拉取FOFA、SHODAN（网络空间搜索引擎）等互联网资产测绘平台的组件识别信息、威胁情报、Whois历史DNS解析记录、IP反查信息作为情报补充，辅助研判请求域名的风险值。根据历史Whois信息自动在全网关联匹配的网站注册、账号注册信息，进一步缩小范围并定位注册人情报后通过人工确认是否为非法攻击行为。在实际运营过程中，已识别多起非法攻击并处理。

1.内/外部情报系统，构建情报防御体系

在DMZ区多处网段部署流量监测系统捕捉0day漏洞和收集日常发起攻击的恶意IP，基于AI等技术对攻击IP进行画像分析，对攻击类型进行机器学习，构造内部情报系统，再结合外部情报系统，对自身情报系统进行互补，使情报更加精确、完整。有了情报系统可以更加快速为后面溯源和分析攻击IP提供良好的途径。

2.仿真蜜罐，构建欺骗防御体系

实践以自身对外服务和内网业务为原型，仿照出几乎一模一样并具有高交互能力的仿真蜜罐系统，混淆攻击者的攻击目标，拖延攻击进程。在不同环境区域按真实服务器一定比率开启动态蜜罐监控功能，其中包含生产网络环境专用蜜罐服务器，用于捕获异常的扫描探测/端口访问等行为。在DMZ区域部署多套WEB应用蜜罐系统映射在互联网侧。此外，分别在互联网前置区和业务区各部署多套内网蜜罐，覆盖Redis、Weblogic、后台登录等低交互蜜罐系统。

一是通过分析自身业务后，在不影响正常业务的前提下，以Redis、Weblogic系统常用服务为原型仿照出几乎一致的蜜罐系统，并将其散布到真实的业务网络中，混淆攻击目标。二是通过在高仿真蜜罐上开放常见的WEB应用、后台登录等漏洞，引诱攻击者进行攻击，消耗其时间与精力，拖延攻击进程。三是借助蜜罐争取来的时间进行攻击定位，进行安全处置。

3.自动化溯源分析系统，构建自动溯源体系

网络安全设备和蜜罐监测到攻击时，通过溯源模型将攻击发生时间、攻击源地址、攻击类型、攻击载荷等信息同步到自动化溯源分析系统，溯源分析系统会针对该攻击IP进行分析，反向探测开放的网络端口、服务，应用信息等，并对开放服务web服务进行截图供溯源者跟踪。及时联动情报中心获取IP情报（恶意IP、历史域名、使用者）信息，通过接口拉取FOFA、SHODAN等互联网资产测绘平台的组件识别信息、威胁情报、Whois历史、DNS解析记录、IP反查信息作为情报补充，辅助研判请求域名的风险值。根据历史Whois信息自动在全网关联匹配的网站注册/账号注册信息，获取相应数据后进行多维度数据加工分析、可视化，形成攻击者入侵链路图，完成对攻击者进行画像，以识别攻击者背景、身份、目的。通过ATT&CK模型进行全场景关联溯源，按照攻击者的入侵战法梳理出攻击过程全景图，并对攻击战法的各个入侵阶段进行映射，形成攻击事件的战法路径图，同时还原提取每一个阶段原始数据，还原完整的攻击过程，并联动资产系统对被攻击目标系统使用的应用框架、组件快速匹配是否存在最新漏洞及历史高危漏洞，快速定位失陷主机及失陷原因。攻击者完成一次入侵突破后，往往会利用失陷主机进行内网的横向扩散攻击，基于大数据关联技术，在完成一次全场景的溯源后，会自动将溯源到的失陷主机作为攻击者再次进行多层溯源，深入发现失陷主机发起的横向扩散攻击。

二、实战成果，实践多重防御效果

1.案例分享一

某日根据邮件沙箱告警，发现攻击者进行钓鱼攻击行为，第一时间将发件人邮箱进行封堵。设备联动把攻击IP同步到自动溯源分析系统对攻击IP展开画像：

1、分析样本执行进程会自动连接至攻击者下载服务器进行“vbc.exe”下载及执行。

2、提取vbc.exe提取出线程注入的shellcode为后门文件，为汇编程序编写的商业窃密软件。攻击IP分析该攻击主机开放80端口且检测到域名fa**.com、jec*****.rest、usd*.trad等。

3、通过情报系统分析获得攻击者其他IP信息：23.*.*.*、103.*.*.*，确认为境外商业窃密攻击者。

2.案例分享二

在某次攻防演练中蜜罐系统捕获到IP（119.*.*.*）对某互联网蜜罐进行JAVA远程代码执行漏洞的多次扫描探测行为。经过自动化溯源系统进行溯源分析，发现攻击IP（119.*.*.*）上80端口开放了web网站（http://119.*.*.*），网站上展示了攻击者的网名信息为N**，通过溯源系统关联分析获得攻击者的博客地址，博客中展示了其自己编写的web漏洞扫描器，确认其熟练渗透测试，在博客中还发现了其创建的一个域名n****.com，域名反查信息获得了其注册时使用的真实姓名，并在其博客的文章中获得了其QQ号，通过QQ号关联信息查询获取到了其手机号，最终获得攻击者完整的用户画像。同时溯源分析系统关联内部资产系统，根据攻击特征快速匹配出与企业中使用相应框架的应用系统，根据应用框架不同的版本关联对应版本已公开的漏洞及该系统历史高危漏洞，确认是否受影响，金融企业安全人员使用自动化溯源分析系统进行快速判断并采取了相应的应急处置措施。

总结

综上所述，金融企业防守团队以构建情报防御体系、欺骗防御体系、自动溯源体系的多重防御策略作为主要策略，攻击溯源的价值在于掌握对手情况，且不局限于已知漏洞，发现未知的0day等新型网络攻击行为；掌握攻击者的意图、实力等，针对性采取合适的对策；帮助自身梳理和明确下一步安全体系建设的优先级，知道下一步该做什么，掌握自身安全体系的薄弱点，从应急到响应，更好地进行防御。可以帮助自身基于对攻击方行为模式的剖析，在防守端采取一系列更有针对性、更具系统性的防守技战法，以达到更好的安全防御效果。

网络攻击的追踪溯源是一门艺术，没有单纯的技术方法可以程式化、计算、量化或全自动实现溯源，无论这种技术是简单的还是复杂的。高质量的溯源取决于各种技巧、工具以及组织文化，合作顺畅的团队、能力突出的个人、丰富的经验，自动化溯源分析系统在金融企业建设中还面临巨大的挑战，总结以下几点，欢迎同行交流、指正：

1. 在反向溯源过程中，可能存在探测到不在授权范围内的网络或者主机，如攻击者使用的跳板网络，故需在司法允许的范围内操作；
2. 针对定向的攻击是应用和业务层面上而非网络层面上的攻击，更具隐蔽性、匿名性、持久性和复杂性，追踪溯源的难度更大；
3. 在追踪溯源网络攻击过程中威胁情报准确高效将直接影响到溯源分析的准确性与完整性，很多威胁情报来自行业内、社区共享，如何提高威胁情报的质量具有很大的挑战；
4. 强加密技术使用的增多也给取证制造了更多的问题，制约了大规模数据的搜集。

作者介绍

种田：安全研究员，10 余年安全攻防对抗经验，曾在多家大型SRC 平台年度积分TOP。

‍

关于 大湾区金融安全专刊

大湾区专刊集合了全国数十家金融和科技机构的网络安全工作经验总结，内容涉及防护体系、资产管理、研发安全、攻防演练、安全运营、数据安全、业务安全七大主题方向，希望能为从业者提供网络安全防护方面的整体思路，向行业传播可持续金融创新和实践经验，为推动可持续金融生态发展汇聚智慧与力量。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

专刊获取方式

本次专刊的合作机构如下

赶紧关注他们

联系获取纸质版专刊吧！

原文始发于微信公众号（安全村SecUN）：攻击检测自动溯源分析技战法｜大湾区金融安全专刊·安全村