如何辨别身边的僵尸

admin 2022年3月30日19:07:58评论47 views字数 1613阅读5分22秒阅读模式

近日,华北某重要客户接到信息安全主管部门的通告,称其网络中存在大量僵尸主机并对外发起了有组织的慢速扫描和DDoS-HTTPs(针对Web的拒绝服务)攻击。恰逢敏感时间节点,所以此安全事件造成了一定程度的负面影响。

跟大多数政企用户相似,该用户网络大量采用了NAT(地址转换)机制,并由于慢速、随机波动的攻击节奏,现有网络安全设备均未报告此次事件。

在接到客户需求之后,东软NTAD全流量安全检测系统迅速进场部署,监控了该客户Internet出口的所有流量,通过全流量检测机制实现全维度的安全分析,通过全报文存储与回溯提供无可辩驳的原始包取证。

在这次安全服务中,NTAD系统主要依靠内置的DGA检测模块实现了对客户僵尸网络的检测发现。

DGA是什么


DGA,“域名生成算法“,是僵尸网络控制主机与受控主机之间的通信暗号,是僵尸网络(也包括性质相近的木马、肉鸡、病毒……)规避检测的方式,属于第三代。

远程控制僵尸主机的服务器,暂称之为僵王博士。它与僵尸主机的控制通信方式(C&C)主要分为三种类型:

01

固定IP

在第一代中,各受控僵尸主机,均缺省向固定IP的服务器发起控制通信,包括报到、接受指令等。但后来,这些IP,很快被发现并纳入到威胁情报中心,各个FW、IDS等设备均可通过黑名单对其进行拦截;

02

由固定域名解析出动态IP

为了避免这种情况,僵王博士又想出新的招数:给自己申请了固定域名,但对应的IP地址是经常变的。各僵尸主机首先解析这个域名,获得动态变化的IP,然后再发起C&C通信。这种方式,可以逃避相当一部分安全设备的检测拦截。但随着安全技术的发展,僵王博士的固定域名也很快被拉入了黑名单,包括其对应的IP地址;

03

由动态域名解析出动态IP

僵王博士一想,干脆咱们连域名也变起来,大家约定一个规律,实时测算当前僵尸博士可能使用的域名,这个规律就是DGA。受控主机通过解析这个动态变化的域名获得动态变化的IP,从而使C&C通信变得更加飘忽不定、难以拦截。

NTAD系统对DGA的专门设计

东软NetEye网络审计与全流量分析检测系统(NTAD)是基于原始报文解析技术的流量安全可视化分析设备,完整覆盖了流量流向、异常分析、协议识别、性能监控、攻击检测、威胁情报、回溯取证等诸多环节,面向全流量、全协议、全维度提供检测服务。产品支持镜像、分光、TAP等采样机制,可通过旁路方式部署在网络边界、核心交换、服务器汇聚、终端接入等各种拓扑位置,能够为全网流量担当统一的分析回溯平台,一站式满足多种安全合规要求。

NTAD全流量分析系统DGA检测模块,正是瞄准了僵尸博士的这个动态域名机制,通过对DGA域名算法预先测算和实时检查,及时侦测僵王与僵尸网络、病毒的C&C通信行为,并在大规模攻击爆发之前发现受控主机的存在。


如何辨别身边的僵尸

僵尸网络的行为指标

在DGA分析页面中,有几个指标需要我们格外留意:

  • DGA家族:这个指标,指的是发现了多少个僵尸家族,一个僵尸家族有可能存在多个僵王博士来管理肉鸡;

  • 趋势:表示NTAD侦测到有多少次针对僵王博士域名的DNS解析行为。这种行为,通常是大规模爆发前的预兆;

  • 受害主机:指的是哪些主机发出了针对僵王博士的DNS解析报文,他们一般都是沦陷了的无辜群众;

  • 攻击主机:指的是受害主机在DNS解析报文中想得到哪些僵王博士的IP。

如何辨别身边的“僵尸”

关联分析发现僵王的家族关系

如何辨别身边的“僵尸”

在DGA关联分析板块中,NTAD全流量分析系统将按照域名、家族两个维度,清晰展现各受控主机、僵王博士跟他们的隶属关系,每个DGA图群都可以被拖动,而且各个节点都会随着拖动而扭曲摇曳、自动摆正对齐,像僵尸,像草履虫,也有点儿像水母。

利用NTAD系统的DGA检测模块,能够准确预知当前各大僵王博士启用的域名和通信行为,进而发现僵王以及各受控肉鸡的存在。

东软NTAD全流量安全检测系统,是专业级的网络安全基础支撑设备。

如何辨别身边的“僵尸”


原文始发于微信公众号(东软NetEye网络安全):如何辨别身边的“僵尸”

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月30日19:07:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何辨别身边的僵尸https://cn-sec.com/archives/856187.html

发表评论

匿名网友 填写信息