应用网络异常分析工具的案例：通过浏览器插件的攻击

对于浏览器而言，对浏览器的攻击是一种相当流行的媒介，他们通过Internet上浏览程序的各种漏洞或针对它们的受保护程度不强的插件，试图侵入公司和部门网络。这通常始于具有网络犯罪分子所使用的漏洞的完全合法甚至列入白名单的站点。插件，扩展程序，插件（即使出于良好目的而安装）一旦开始就可以监视用户活动，将访问过的网站的历史“合并”给开发人员，在页面中引入烦人的广告，有时甚至是恶意的。用户通常甚至不了解他们在网站页面上看到的广告横幅是由他们安装的插件添加的，它最初不是嵌入在页面上的。有时，此类插件和扩展甚至充当攻击者进入用户计算机的大门，从此开始了企业内部网络的胜利之战。通过这些扩展，攻击者可以安装恶意代码，跟踪数据或窃取它。同时，我们并不总是能够强制所有用户正确配置其浏览器并监视其配置。当只有一个用户可以成为最弱的链接并打开“通向地狱的大门”时，该怎么办？在这种情况下，网络流量监视解决方案可以提供帮助。通过它，胜利的队伍开始在企业的内部网络上。通过这些扩展，攻击者可以安装恶意代码，跟踪数据或窃取它。同时，我们并不总是能够强制所有用户正确配置其浏览器并监视其配置。当只有一个用户可以成为最弱的链接并打开“通向地狱的大门”时，该怎么办？在这种情况下，网络流量监视解决方案可以提供帮助。通过它，胜利的队伍开始在企业的内部网络上。通过这些扩展，攻击者可以安装恶意代码，跟踪数据或窃取它。同时，我们并不总是能够强制所有用户正确配置其浏览器并监视其配置。当只有一个用户可以成为最弱的链接并打开“通向地狱的大门”时，该怎么办？在这种情况下，网络流量监视解决方案可以提供帮助。什么时候只有一个用户可以成为最弱的链接并打开“地狱之门”？在这种情况下，网络流量监视解决方案可以提供帮助。什么时候只有一个用户可以成为最弱的链接并打开“地狱之门”？在这种情况下，网络流量监视解决方案可以提供帮助。




思科的研究部门之一，思科认知智能公司，是在捷克公司Cognitive Security于多年前被收购之后出现的。该公司透露，许多恶意浏览器插件具有独特的特征，可以作为网络流量分析的一部分进行检测和监视。与之前检查的前三个案例（泄漏检测，恶意代码和DNSpionage活动）相比，当前存在的唯一区别）-为了检测引入了网络犯罪分子赚钱或合并数据的广告的插件的活动，您需要自己做大量研究（我们花了大约一年的时间分析了数千个插件，以识别行为模式并描述它们）或信任NTA类解决方案的制造商，其中包含这样的机会。

这是Cisco Stealthwatch解决方案中的此功能。我们看到，从内部网络的两个地址（分别为10.201.3.45和10.201.3.108）中，记录了与点击欺诈相关的活动，将广告引入页面（广告注入）以及恶意广告。



显然，我们要调查此活动：



我们看到公司网络中的节点与位于合法Amazon上的域进行了交互（因此，按IP地址进行阻止将无法工作；当然，如果您不是Roskomnadzor，则无法）。但是，将各种机器学习算法应用于流量表明此活动是恶意的。




更深入的潜水使我们能够了解有关威胁的更多详细信息。



例如，案例＃CADP01与恶意代码AdPeak关联，该恶意代码将AdAdak注入到所访问的网页中，并向攻击者赚钱。



案例＃CDPY01与潜在的有害应用程序相关联，该应用程序将广告注入浏览器会话，并可能导致随后感染计算机。



由于检测到恶意浏览器活动可能表明已经发生感染，因此我们需要进行调查，以显示谁在我们的网络上与受感染的节点进行交互，它是什么类型的节点，它的作用是什么，用户为它工作什么等等。



例如，提到的节点10.201.3.45属于开发组（开发或软件开发）。我们还将看到与此节点关联的所有数据流以及主要的安全事件。



有趣的是，我们最感兴趣的节点通常与本地DNS服务器进行交互，这导致人们想到可能对DNS或通过DNS进行攻击（请记住上一篇文章中描述的DNSpionage或Sea Turtle）。

我们在安全事件列表中看到了什么？流被拒绝。这是什么？这个问题的答案在很大程度上取决于上下文，因为内部节点与内部节点的连接与内部节点与外部节点的连接有很大不同，并且含义可能完全不同。例如，如果内部节点有许多禁止通过同一端口连接到内部资源的连接（流），则这可能是任何应用程序的错误配置。许多不同端口或内部节点的禁止流动，很可能是侦察，这是任何攻击的第一阶段。从内部到外部Internet站点的阻止流可以表征恶意代码，远程访问实用程序（RAT），信息泄漏以及安全策略定义为禁止的许多其他“有趣”事件的运行。而且由于它们已被您的网络流量分析系统检测到，这意味着您有问题。

这种情况很有趣，因为它稍微改变了NTA类系统功能的观点，这些功能依赖于Netflow（或其他流协议）在工作中的分析。可以看出，这样的系统不仅可以在网络级别上运行，而且还可以使我们上升到更高的水平并在应用程序级别检测攻击，而防火墙或终端设备的保护手段始终无法看到这些攻击。