近日,华北某重要客户接到信息安全主管部门的通告,称其网络中存在大量僵尸主机并对外发起了有组织的慢速扫描和DDoS-HTTPs(针对Web的拒绝服务)攻击。恰逢敏感时间节点,所以此安全事件造成了一定程度的负面影响。
跟大多数政企用户相似,该用户网络大量采用了NAT(地址转换)机制,并由于慢速、随机波动的攻击节奏,现有网络安全设备均未报告此次事件。
在接到客户需求之后,东软NTAD全流量安全检测系统迅速进场部署,监控了该客户Internet出口的所有流量,通过全流量检测机制实现全维度的安全分析,通过全报文存储与回溯提供无可辩驳的原始包取证。
在这次安全服务中,NTAD系统主要依靠内置的DGA检测模块实现了对客户僵尸网络的检测发现。
DGA是什么
01
固定IP
在第一代中,各受控僵尸主机,均缺省向固定IP的服务器发起控制通信,包括报到、接受指令等。但后来,这些IP,很快被发现并纳入到威胁情报中心,各个FW、IDS等设备均可通过黑名单对其进行拦截;
02
由固定域名解析出动态IP
为了避免这种情况,僵王博士又想出新的招数:给自己申请了固定域名,但对应的IP地址是经常变的。各僵尸主机首先解析这个域名,获得动态变化的IP,然后再发起C&C通信。这种方式,可以逃避相当一部分安全设备的检测拦截。但随着安全技术的发展,僵王博士的固定域名也很快被拉入了黑名单,包括其对应的IP地址;
03
由动态域名解析出动态IP
僵王博士一想,干脆咱们连域名也变起来,大家约定一个规律,实时测算当前僵尸博士可能使用的域名,这个规律就是DGA。受控主机通过解析这个动态变化的域名获得动态变化的IP,从而使C&C通信变得更加飘忽不定、难以拦截。
NTAD系统对DGA的专门设计
僵尸网络的行为指标
在DGA分析页面中,有几个指标需要我们格外留意:
-
DGA家族:这个指标,指的是发现了多少个僵尸家族,一个僵尸家族有可能存在多个僵王博士来管理肉鸡;
-
趋势:表示NTAD侦测到有多少次针对僵王博士域名的DNS解析行为。这种行为,通常是大规模爆发前的预兆;
-
受害主机:指的是哪些主机发出了针对僵王博士的DNS解析报文,他们一般都是沦陷了的无辜群众;
-
攻击主机:指的是受害主机在DNS解析报文中想得到哪些僵王博士的IP。
关联分析发现僵王的家族关系
原文始发于微信公众号(东软NetEye网络安全):如何辨别身边的“僵尸”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论