艾体宝干货 | IOTA流量分析秘籍第二招:IDS或终端保护系统分析

终端保护解决方案或入侵检测系统(IDS)可以基于启发式方法、特征码以及新解决方案中的人工智能来检测恶意事件。它们通过电子邮件、Syslog、Webhooks或其他方式生成警报。然而,有效地分析这些警报消息的根本原因,以识别和响应潜在威胁,需要先进的工具和方法。

本文探讨了IOTA网络流量捕获和分析解决方案如何使安全专业人员能够分析IDS警报消息,从而全面提升网络安全。

一、流量捕获

第一步是捕获受影响的流量。使用IOTA捕获网络流量有两种选择:内联(in-line)或通过SPAN连接。如果我们已永久部署IOTA,可以在警报出现后立即对流量模式进行回溯分析。IOTA在网络中的放置位置必须根据预期应用决定。

二、流量分析

我们的分析过程取决于消息是来自终端检测与响应(EDR)系统还是入侵检测系统(IDS)。因此,我们描述了分析安全警报的各种方法。

三、寻找“零号病人(patient zero)”

名词解释:在网络安全领域,“Patient Zero”(零号病人)是一个重要的概念,用于描述首次感染恶意软件或病毒的用户或设备。其识别和防御对于控制恶意软件的传播至关重要。

回溯分析的第一步是选择所需的时间窗口。我们可以在IOTA界面的右上角区域中选择绝对时间窗口(从某个时间到另一个时间)或相对于当前时间的时间窗口。时间窗口应尽可能限制,以简化后续分析。

图 1:在 IOTA 面板上应用相对或绝对时间过滤器

我们从受影响的主机开始搜索攻击者。让我们从首次检测到攻击或异常行为的主机开始,找到所谓的 “0 号病人”,并相应地限制时间窗口。

如果是已知攻击,则可以专门搜索通信模式,如特定目标端口。我们还以此为例。我们假设一个文件服务器受到勒索软件攻击,该服务器通过网络中的服务器消息块(SMB)提供服务。服务器的 IPv4 地址是 192.168.178.6。

我们知道 SMB 在 TCP 端口 445 上运行,因此我们对该目标端口进行过滤。这表明,在加密时间窗口内,只有 192.168.178.22 客户端与文件服务器建立了 SMB 连接。

图 2:按目的地端口 445 和 IP 地址 192.168.178.6 过滤的视图。流量图也经过过滤

在这里,我们使用过滤器 “IP_SRC = 192.168.178.22 ”来检查客户端 192.168.178.22 不久前建立了哪些通信关系,并明确是命令和控制流量还是下载流量。

在此之前,只有一个通信关系离开了内部网络,具体来说,是一个在目标端口 443 上使用 TLS 的 TCP 连接,即 HTTPS。在这里,我们使用 IOTA 的下载功能下载了整个数据流和相应的数据流。现在,我们可以检查客户端 hello 中的 TLS 扩展服务器名称指示 (SNI),以明确客户端使用哪个主机名建立连接。

图 3:概览仪表板上的流量列表。我们可以将其下载为 PCAPNG 格式,详细查看特定流量,或通过选择 “+”符号进行包含过滤,或选择“-”符号进行排除过滤

由于 TLS 加密,下载本身无法以纯文本形式识别,因此必须在日志文件中对客户端进行进一步分析。这表明用户下载并安装了一个恶意程序,然后通过分析的 SMB 网络共享对文件进行加密。

这些步骤为我们提供了导致攻击的 IP 地址、主机名和文件。不过,在某些情况下,下载恶意软件的服务器只是攻击者的 “前端服务器”,它们也会不时发生变化。

不过,由于网络中的横向移动在攻击事件中通常是可以识别的,因此还应检查其他客户端,因为受影响的客户端可能已经分发了恶意软件。如果在受影响的客户端上无法识别外部通信关系,则应检查所有内部通信模式,看是否有异常情况可能将恶意软件带到客户端 192.168.178.22。

要首先识别该主机与哪些远程站进行过通信,我们可以进入 “概览 ”仪表板,然后单击流程图中的 IP 地址。然后,IOTA 会对点击的 IP 地址应用带有源地址和目标地址的 IP 过滤器。

图 4:通过 IP 地址过滤并查看捕获的流量

在这幅图中,我们可以看到两个流量。我们随后可以识别出几种基于 IPv4 的通信模式。在示例中,主机与其他六个地址通信,其中一个是广播地址 (255.255.255.255),192.168.178.1 是网关。我们还可以看到组播地址 224.0.0.251 和 239.255.255.250。这样就只剩下 192.168.178.6 和 192.168.178.25。由于 192.168.178.6 本身就是文件服务器,我们可以认为 192.168.178.25 是唯一的其他主机。

通过对 192.168.178.25 进行过滤,我们可以调查与该 IP 连接的所有通信模式。如果只有一个流向 192.168.178.22,我们就可以认为 192.168.178.25 是零号病人。

四、ARP 欺骗

在下面的示例中,客户数据中心网络 IDS 报告了一次 ARP 欺骗攻击。IDS 告诉我们,IP 地址 192.168.178.21 受此攻击影响。我们需要获取攻击者的 MAC 地址,以便在网络中搜索攻击者所在的交换机和相应端口。

客户数据中心 IP 网络是静态寻址的,因此我们只能看到 IP 和 MAC 地址之间一对一的映射。我们进入本地资产仪表板,使用 IOTA 调查此 IDS 警报。

图 5:导航至本地资产仪表板

然后,我们可以通过执行过滤规则 “IP_SRC = 192.168.178.21 ”来过滤源 IP 地址。我们可以在 “客户端清单列表 ”下看到两个 MAC 地址。MAC 地址 14:1A:97:9E:AC:D5 是原始 Mac 地址。因此,攻击者的 MAC 地址为 60:3E:5F:36:2B:5B,如下图所示。

图 6:我们可以看到关于 IP 地址 192.168.178.21 的两个 MAC 地址。因此,我们拥有两个 MAC 地址

现在,我们已经掌握了在网络上搜索交换机上攻击者定位所需的全部信息。

五、TLS 降级

另一个例子是,我们连接到 TAP 的 IDS 系统生成了 TLS 降级攻击警报信息。受影响的公司策略只允许 TLS 版本 1.2 和 1.3,因此我们需要调查哪些主机正在使用 TLS 版本 1.0 或 1.1。为此,我们导航到 SSL/TLS 概述仪表板。

图 7:导航至 SSL/TLS 概述控制面板

在 SSL/TLS 总览仪表板上,我们可以看到使用 TLS 1.1 或 1.0 的不安全配置,以及 SSL/TLS 服务器的配置栏。

如下图所示,我们可以通过 “TLS_SERVER_VERSION < TLSv1.2 ”进行过滤,只获取不安全连接。在这里,我们有一台 IP 地址为 192.168.178.6 的服务器,它的 TLSv1 和 TLSv1.1 已激活,我们有 160 个流量受到不安全传输加密方法的影响。我们现在知道,只有这台服务器会受到这种攻击的影响。

图 8:带有不安全 TLS 版本过滤器的 SSL/TLS 总览仪表板

之后,我们要调查该服务器是否也启用了安全版本。在 SSL/TLS 总览控制面板上,我们创建了 “IP_DST=192.168.178.6 ”过滤器,以便根据受影响的目标 IP 地址进行过滤。我们可以看到,该服务器也启用了 TLSv1.2 和 TLSv1.3 安全版本。因此,我们可以认为该服务器受到了 TLS 降级攻击的影响。

图 9:SSL/TLS 概述仪表板,显示 IP 地址 192.168.178.6 提供的所有 TLS 版本

六、端口扫描

我们的下一个安全事件由终端保护生成。IOTA 可以识别端口扫描并清除产生扫描的主机。因此,我们需要导航到 TCP 分析仪表板。

图 10:导航至 TCP 分析仪表板

在 “TCP 分析 ”面板上,我们可以过滤 “不完整的 3 路或无数据(Incomplete 3-way w/o Data)”。这有助于我们将所谓的 TCP 半开启作为不完整三向进行检查。

TCP 半开放有助于识别发送 SYN、等待 SYN/ACK 并保持握手开放的攻击者。攻击者可以在不通过 ACK 完成 TCP 握手的情况下获得开放端口的信息。某些情况下会显示握手数据而不传输数据,这表明端口扫描。

图 11:带有源 IP 地址和目标 IP 地址过滤器的 TCP 分析仪表板,以及我们的指标 “不完整 3 路 ”和 “无数据”

七、为记录目的导出数据

有时,需要导出捕获的数据以进行彻底的取证分析或进一步调查。这一过程可按需或主动执行,确保我们不受 IOTA 存储容量的限制。

我们可以导航到左侧菜单中的 “IOTA 数据库 ”选项,以方便进行此操作。随后,我们可以进入 “捕获导出”,选择首选协议,即 WebDAV 或 FTP。单击 “应用 ”启动导出流程,即可配置凭证和错误处理。按照该协议,捕获的数据将以 PCAP 文件的形式上传到指定的服务器,每隔三十秒上传一次。

图 12:定期导出到 WebDAV 服务器

IOTA 固态硬盘上的所有捕获数据都可以作为 PCAPNG 文件在 IOTA 数据保险库的 “捕获文件 ”部分进行访问。IOTA 每三十秒生成一次新的 PCAPNG 文件。我们可以按开始时间选择所需的数据,然后点击下载。下载捕获文件后,我们可以根据需要在 Wireshark 中分析有效载荷。

图 13:选择并下载 PCAPNG 文件,以便在 Wireshark 中进行进一步研究

结论

IOTA 允许灵活的网络集成和捕获选项,以便对安全警报做出反应。捕获可以在报告警报后按需进行,也可以作为永久滚动捕获进行。

建议采用永久捕获方式,以便在警报发出后立即提供所需数据进行分析。

流量可以简单地导出为 PCAPNG,然后在需要时导入进行分析。IOTA 使我们能够使用提供的仪表板快速有效地分析恶意通信模式。灵活的过滤器组合和深入分析选项可加快根本原因分析。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/368585.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

数学建模(1):期末大乱炖

1 概述&#xff01;&#xff01; 1.1 原型和模型 原型&#xff1a;客观存在的研究对象称为原型&#xff0c;也称为“系统”、“过程”。 机械系统、电力系统、化学反应过程、生产销售过程等都是原型&#xff1b; 研究原型的结构和原理&#xff0c; 从而进行优化、预测、评价…

【Android源码】Gerrit安装

前言 如果你打开 https://android.googlesource.com/platform/manifest&#xff0c;就会发现&#xff0c;google官方管理Android源码&#xff0c;使用的是Gerrit。Android系统源码是非常大的&#xff0c;用Git肯定是不适合。对于大型项目&#xff0c;得用Gerrit&#xff0c;今…

解决微信小程序使用textarea输入框 type=“textarea“ 文本输入限制问题

出现的问题 type"textarea" 这个限制 微信小程序使用textarea , 输入字数大于140 时就输入不进去了 加入这个就解决了 maxlength"-1" <u-inputv-model"queryParams.orderIdTxt"border"true":focus"true":auto-height&q…

c++:动态内存变量

典型的C面向对象编程 元素 (1)头文件hpp中类的定义 (2)源文件cpp中类的实现&#xff08;构造函数、析构函数、方法&#xff09; (3)主程序 案例 (1)用C来编程“人一天的生活” (2)“人”的属性&#xff1a;name、age、male (3)“人”的方法&#xff1a;eat、work(coding/shop…

【虚拟机】虚拟机网络无法访问问题【已解决】

【虚拟机】虚拟机无法上网问题【已解决】 问题探究解决方法法1&#xff1a;查看相关“网络服务”是否处于正常启动状态法2&#xff1a;重启网络法3&#xff1a;重新安装VMWare法4&#xff1a;使用NAT模式&#xff0c;每次打开win7都没连上网的解决办法 问题探究 安装了很多个虚…

香橙派 AIpro 根据心情生成专属音乐

香橙派 AIpro 根据心情生成专属音乐 一、OrangePi AI pro 开发版参数介绍1.1 接口简介1.2 OrangePi AI pro 的Linux系统功能适配情况1.3 开发板开机1.4 远程连接到 OrangePi AIpro 二、开发环境搭建2.1 创建环境、代码部署文件夹2.2 安装 miniconda2.3 为 miniconda 更新国内源…

分子AI预测赛笔记

#AI夏令营 #Datawhale #夏令营 Taks1 跑通baseline 根据task1跑通baseline 注册账号 直接注册或登录百度账号&#xff0c;etc fork 项目 零基础入门 Ai 数据挖掘竞赛-速通 Baseline - 飞桨AI Studio星河社区 启动项目 选择运行环境&#xff0c;并点击确定&#xff0c;没…

Redis的八种数据类型介绍

Redis 是一个高性能的键值存储&#xff0c;它支持多种丰富的数据类型。每种数据类型都有其特定的用途和底层实现。下面我将介绍 Redis 支持的主要数据类型及其背后的数据结构。 本人这里还有几篇详细的Redis用法文章&#xff0c;可以用来进阶康康&#xff01; 1. 字符串 (Stri…

轻松跨越国界:使用WildCard畅享全球AI服务

大家好&#xff0c;现在AI技术已经深入到我们的日常生活中。然而&#xff0c;许多朋友仍然难以获取优质的AI工具和应用。那么&#xff0c;如何才能使用像ChatGPT这样的AI服务呢&#xff1f; 今天我为大家介绍一个“一劳永逸”的解决方案&#xff0c;它就是我们的主角——WildC…

基于antv x6实现的组织架构图

X6 是基于 HTML 和 SVG 的图编辑引擎&#xff0c;基于 MVC 架构&#xff0c;用户更加专注于数据逻辑和业务逻辑。 一、业务背景 将组织树形结构图形化&#xff0c;更直观的展示个人所在的组织架构。 二、功能点 组织结构按需渲染&#xff0c;支持层级展开、收缩按需求自定义…

秋招突击——设计模式补充——单例模式、依赖倒转原则、工厂方法模式

文章目录 引言正文依赖倒转原则工厂方法模式工厂模式的实现简单工厂和工厂方法的对比 抽线工厂模式最基本的数据访问程序使用工厂模式实现数据库的访问使用抽象工厂模式的数据访问程序抽象工厂模式的优点和缺点使用反射抽象工厂的数据访问程序使用反射配置文件实现数据访问程序…

PhysioLLM 个性化健康洞察:手表可穿戴设备实时数据 + 大模型

个性化健康洞察&#xff1a;可穿戴设备实时数据 大模型 提出背景PhysioLLM 图PhysioLLM 实现数据准备用户模型和洞察生成个性化数据总结和洞察是如何生成的&#xff1f; 解析分析 提出背景 论文&#xff1a;https://arxiv.org/pdf/2406.19283 虽然当前的可穿戴设备伴随应用&…

S272钡铼技术4G无线RTU支持多路DIN输入和模拟量转换至4G网络

钡铼第四代RTU S272是一款先进的工业级4G远程遥测终端&#xff0c;为各种远程工业数据采集和控制系统提供了高效解决方案。结合了现代通信技术和多功能的输入输出接口&#xff0c;S272不仅支持多路数字量和模拟量输入&#xff0c;还具备灵活的扩展性和强大的控制功能&#xff0…

什么是嵌入式,单片机又是什么,两者有什么关联又有什么区别?

在开始前刚好我有一些资料&#xff0c;是我根据网友给的问题精心整理了一份「嵌入式的资料从专业入门到高级教程」&#xff0c; 点个关注在评论区回复“888”之后私信回复“888”&#xff0c;全部无偿共享给大家&#xff01;&#xff01;&#xff01;从科普的角度&#xff0c;…

Python酷库之旅-第三方库Pandas(001)

目录 一、Pandas库的由来 1、背景与起源 1-1、开发背景 1-2、起源时间 2、名称由来 3、发展历程 4、功能与特点 4-1、数据结构 4-2、数据处理能力 5、影响与地位 5-1、数据分析“三剑客”之一 5-2、社区支持 二、Pandas库的应用场景 1、数据分析 2、数据清洗 3…

记录OSPF配置,建立邻居失败的过程

1.配置完ospf后&#xff0c;在路由表中不出现ospf相关信息 [SW2]ospf [SW2-ospf-1]are [SW2-ospf-1]area 0 [SW2-ospf-1-area-0.0.0.0]net [SW2-ospf-1-area-0.0.0.0]network 0.0.0.0 Jul 4 2024 22:11:58-08:00 SW2 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25 .1…

二分查找及其变种

一、概念 二分查找算法&#xff08;Binary Search Algorithm&#xff09;是一种在有序数组中查找特定元素的高效搜索方法。 其基本思想是将目标值与数组中间的元素进行比较&#xff0c;如果目标值等于中间元素&#xff0c;则查找成功&#xff1b;如果目标值小于中间元素&…

Visual Studio 设置回车代码补全

工具 -> 选项 -> 文本编辑器 -> C/C -> 高级 -> 主动提交成员列表 设置为TRUE

使用EndNote在Word中插入参考文献,并编辑参考文献样式方法

一、背景 在准备中期报告时&#xff0c;学校给的是Word模板&#xff0c;习惯了Latex排版和添加参考文献的便利后&#xff0c;真不想用word写东西。 之前投《机器人》期刊&#xff08;被拒了&#xff09;和准备开题的时候也是用word写的&#xff0c;当时为方便添加参考文献和定…

【人工智能】--生成对抗网络

个人主页&#xff1a;欢迎来到 Papicatch的博客 课设专栏 &#xff1a;学生成绩管理系统 专业知识专栏&#xff1a; 专业知识 文章目录 &#x1f349;引言 &#x1f349;GAN 的基本原理 &#x1f348;生成器&#xff08;Generator&#xff09; &#x1f348;判别器&…