Skip to content

数据驱动的威胁检测和攻击溯源—学习笔记

本篇主要是对[1]的学习笔记。

攻击意图

  • 个人恩怨
  • 利益驱动
  • 诈骗
  • 勒索
  • 引流
  • 挂暗链

  • 个人爱好

  • 政治目的

  • 竞争对手

攻击面

  • 外网打点

  • 权限提升

  • DDOS

  • 内网渗透

Web攻击路径

  • 信息搜集
  • 攻击尝试
  • 打点成功
  • 权限提升

  • 完全控制

  • 内网探测
  • 横向扩展
  • 维持权限

常见的检测及方法

被动检测

  • IDS
  • IPS
  • WAF
  • ...

主动检测

  • 主机日志分析
    • Linux日志
    • Windows日志
  • 应用日志分析

  • 流量入侵检测

日志分析方法

登录日志

  • 登录次数
  • 登录失败
  • 异常登录
  • 异常用户登录
  • 非工作时间登录

操作日志

  • 执行的命令
  • TODO

配置文件

  • 新添加项
  • 计划任务
  • 开机启动
  • 被修改

Web日志分析

IP

  • 异常IP

  • 请求次数

  • 请求频率
  • 异常请求

UA

  • 可疑UA
    • 一些攻击器的UA特征
  • UA统计
    • 统计量大的,或者任务其可疑的

攻击特征

  • 后门特征
    • 后门的特征
  • 漏洞特征
  • 特殊路径
    • 管理后台的路径
    • 敏感的接口

时间

  • 异常时间
  • 时间段统计
    • 结合业务

URL入口

  • 高频访问
  • 低频访问
  • 敏感路径
    • 同“特殊路径”
  • 入口对比
    • 哪些是正常的、业务的
  • 后门访问

日志分析技巧

  • 总的来说先筛后选再分析
    • 筛掉正常的、没有用的
    • 选择可以的
    • 进行分析和验证
  • TODO

攻击溯源

  • 攻击残留特征
  • CC地址信息
  • 攻击者IP

数据驱动的检测

需要的数据

  • 第三方数据
    • 威胁情报数据
  • SIEM数据
    • 网络设备日志
    • 主机日志
    • Web应用日志
  • 终端数据
    • 进程日志
    • 杀毒日志
  • 流量数据
    • DNS
    • HTTP/WebMail/FTP,进行重放还原
    • SMTP/POP3/IMAP
    • SMB,服务器消息块(SMB,Server Message Block),常用于网络共享
    • oracle/mysql/sqlserver
    • LDAP/SSL

检测面

事件发现

  • 攻击检测
    • CC攻击
    • Web漏洞

行为分析

  • 基线分析
  • 群体分析
  • 账号异动
  • 终端行为
  • 越权行为

场景还原

  • 攻击手法
  • 利用工具

攻击溯源

  • 网内活动

攻击溯源技巧

  • CC域名很多时候会经常变化,且域名注册信息也会有盗用或不真实的情况,这时候就要结合其他维度的信息进行交叉的分析,比如通过检测发现一系列的CC域名都属于同一个DNS进行的解析,且历史DNS的解析时间、数量等都相似,虽然其注册信息都不同,但可能推测其属于同一攻击者/团伙

References

[1] 数据驱动下的威胁检测与攻击溯源, https://www.aqniukt.com/course/2062/task/40647/show