Get best of the week

应用网络异常分析工具的案例:检测恶意代码的传播

我将继续审查与使用NTA(网络流量分析)类解决方案的IS监视解决方案的使用有关的案例。上次我展示了如何检测信息泄漏,但是这次我们将讨论在公司或部门网络内部识别恶意代码。

图片

检测恶意代码有何困难?他们安装了防病毒软件,可以捕获任何恶意软件。唉!如果一切都这么简单,那么您可能会永远忘记这个问题,但是没有……成功的恶意软件感染数量不会减少,这都是因为攻击者不断地改变其技术和策略,修改恶意软件,他们使用无用的恶意软件,使用合法的工具进行管理(同一PowerShell)……这就是如果您不考虑在单个节点上根本没有防病毒软件(IT专家因为速度变慢而不想安装它)或针对该平台的情况。根本不存在。也许有一种情况,我不得不在不同的公司中反复处理。最高经理在他的家用笔记本电脑或平板电脑上拾取恶意软件,然后将其拖到公司中,以便本地IT专家找出来。该设备连接到本地Wi-Fi,这就是内部流行开始的方式。即使在与Internet隔离的网络中。无论如何,防病毒软件并非总是能从现代恶意代码中拯救出来的,我们需要其他方法来检测网络上的恶意软件。

现代恶意代码的特征是什么?是否有任何迹象可以告诉我们网络中出现了问题并且仍然受到某种感染?如果您不考虑不具有在网络上独立分发功能的经典病毒(并且您早已看到经典病毒),那么在可以表征网络上存在恶意代码的迹象中,我将命名为:

  • 扫描内部节点以查找操作系统或应用程序中的漏洞
  • 扫描内部节点以查找开放端口,您可以通过这些端口连接到系统
  • 与知名命令服务器的交互
  • 来自主机的非典型流量(以前未满足的协议,超过了典型的流量,工作站上的服务器协议等)。

这些是网络标志,几乎与所使用的恶意代码无关。因此,您可以尝试识别它们,并且基于Netflow(或其他流协议)的异常和威胁监视工具是最佳的选择。让我们看看如何使用Cisco Stealthwatch解决方案作为示例来完成此操作。

常规扫描(例如安全扫描器)与由恶意代码执行的扫描之间有什么区别?在第一种情况下,在大多数情况下,先在一台计算机上打开端口,然后再在另一台计算机上打开端口,依次类推。这样的尝试很容易识别。很容易确定扫描程序何时仅检查地址范围内的一个开放端口。对于恶意代码,其操作原理是不同的-它扫描节点,找到易受攻击的节点,移至它们,再次扫描,再次发现易受攻击的节点,依此类推。

图片

我们可以借助NTA中嵌入的特殊算法来识别这种发展。

图片

给我们的另一个提示是,记录扫描的计算机的作用-在所有情况下,这些计算机都是销售和营销人员的工作站,它们扫描整个子网,从逻辑上讲,这些子网也与销售部门有关。

图片

找到了一个感染点并随后传播了恶意代码:

图片

我们可以尝试查找恶意代码的其他潜在受害者:

图片

正确配置了异常分析系统后,下次我们不再可以进行单独的调查来回答是否进行网络扫描的问题?仅在主控制台上看到相应的警报指示器(侦察)就足够了:

图片

然后单击它,以获取在“非法”计算机活动中被发现的每个人的列表(顺便说一句,本文的第一个插图显示了可视化恶意代码分布范围的另一种方式)。

图片

值得回顾的是,看似简单的扫描可能是出现更严重问题的第一信号。如果网络钓鱼电子邮件是攻击者开始活动的第一步,那么通过感染一台计算机,他们可以扩展桥头堡,而这样做的主要方法就是扫描。这就是WannaCry的行为,Shamoon的行为,其他数百种恶意程序的行为,导致了严重的事件。

图片

记录了扫描和传播恶意代码的事实之后,我们面临着进行更详细调查和了解节点是否已被感染,而不是被感染,何时被感染等任务。仅NTA类解决方案无法做到这一点,因为您不能仅靠遥测来回答这些问题。但是对于Cisco Stealthwatch来说,免费的Cisco Threat Response解决方案将对我们有所帮助,我已经谈到了集成。单击我们感兴趣的节点就足够了,在下拉上下文菜单中我们将看到启动CTR的可能性,该CTR可以从各种系统中收集有关我们感兴趣的节点的信息-Cisco AMP for Endpoints,Cisco Umbrella,Cisco Talos等。

图片

这是免费的Cisco Threat Response依靠其丰富和可视化安全事件的功能显示的图片:

图片

CTR可以向我们显示与我们感兴趣的站点关联的恶意文件,我们可以通过Cisco Threat Grid沙箱或VirusTotal服务进行检查。在一个节点上拥有数据,我们可以看到他在事件的框架中与谁进行了交互或正在与谁进行交互,攻击的起点,涉及的恶意代码,网络如何渗透以及回答了安全分析人员感兴趣的许多其他问题。

图片

然后,我们已经可以使用外部威胁情报服务对接收到的工件进行额外的验证,这可以为我们提供更多的威胁指标,有关攻击者的更多信息,有关他们使用的技术和战术的更多信息。一切始于解决方案检测到的简单网络扫描,以使用Netflow(或其他流协议)分析异常。

图片

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles