1 总体思路
IPS,WAF等网络安全设备构筑起网络边界上的第一道防线,在攻方演练实战中,能准确及时地分析日志,从日志中发现攻击方的痕迹,对于防守方至关重要。针对初中级防守方人员如何快速分析IPS日志的问题,本文从IPS规则开发人员视角分享几条常用的经验,欢迎交流讨论。
IPS日志分析人员,首先需要具备一定的攻防基础知识,能读懂IPS日志所对应攻击、漏洞或工具流量的大致含义,其次可以从攻击方和正常业务角度深度思考日志的来源,再次对于各类日志形成自己的总结经验,后续碰到相似情况可果断处置。
2 技巧总结
2.1 从日志发现攻击方源ip
在攻防演练前期,最重要的是识别出攻击方的ip,进行及时防护处理。攻击方源ip打出的日志具有以下类别及特点:
2.1.1 扫描探测类
扫描探测类日志占所有日常IPS日志的90%以上,此类日志主要来源于自研/开源全网扫描器、僵尸网络发起的自动化感染传播。
而在攻防演练实战中,攻击者通常采用fofa,zoomeye等搜索引擎对目标进行资产收集。在找到资产的网络区间后,细心的攻击方会对c段进行全端口扫描,连续的端口扫描日志或者nmap指纹信息日志,通常能判定出攻击者是在针对性的对客户网络进行攻击探测,很可能是演练攻击方。
同时,有的攻击方在探测目标时,习惯性的会使用自研的扫描器进行主动扫描,或者通过代理转发至xray、w13sca扫描器进行被动扫描。这种扫描会在短时间内出现一个源ip对一个目标服务器大量的SQL注入、XSS等常规的WEB漏洞等攻击日志,这种情况基本也能判定为攻击方行为。
这类扫描类日志,特点是日志量特别大,攻击源ip相对固定,攻击持续时间短或长或短,扫描产生的日志类型较多。值得注意的是,很多客户网络是部署有负载均衡和反向代理设备的,需要获取到日志的真实源ip才能进行针对性的防护,否则日志可能记录的是代理设备的内网ip。
2.1.2 手工试探类
在激烈的攻防对抗中,很多攻击方不会进行盲目的扫描。在找到目标资产后,他们会进行谨慎的手工尝试,这类尝试性的日志,很容易被大量的扫描日志所淹没。因此,对于某些提示攻击方意图的告警日志,也需要进行重点处理。
比如攻击方找到上传点,会进行手工上传测试,找到疑似struts2,thinkphp框架的系统,会用开源工具或者带编码绕过的自研工具进行尝试,在登录框进行SQL手工尝试,或者用shiro反序列化工具尝试等。这些攻击流量产生的日志数量极少,却不能被防守方轻易忽略。
这类能反映攻击方意图的尝试类IPS检测规则列表,我们在进行归纳和总结,反馈给服务人员和客户参考。
2.1.3 异常属性类
考虑到攻击方有很多扫描器和C2服务器都部署在个人vps上以方便一键使用,这些vps有可能是个人购买的云服务器。在分析攻击日志时,如果源ip归属地是国内外的云服务商,则值得特别警惕。
有的攻击方会在深夜乘防守方警惕性降低时进行攻击尝试,因此半夜出现的攻击日志源ip,也属于值得关注。
攻击源ip的时间段属性也可以简单分析,例如某个源ip只在攻防演练开始之才出现日志,而之前并未打出过攻击日志,很可能来自于演练攻击方。
单纯从攻击日志的各类属性特点来分析日志,也能起到一定作用。
2.2 关注重点事件日志
在攻防演练中后期,更需要关注一些重点事件,及时发现风险。攻击方会使用很多0day和针对防护设备的变形绕过工具,因此防护设备很难全面覆盖到攻击链的每一个点,这时针对重点事件的分析就极有意义。这些重点事件类型包括:
2.2.1 木马连接类
Webshell连接工具,包括老式的大马,小马,菜刀,及各类新式的冰蝎,哥斯拉,天蝎,内存马等;木马远控连接工具,包括cobalt strike的命令下发流量(HTTP协议)和证书指纹规则(HTTPS协议),msf自带木马meterpreter及各类开源远控等。这些工具通信流量产生的日志(部分工具的加密流量通信单纯靠规则无法检测,所以不会产生)是十分值得关注的,出现相关日志说明服务器或者PC已经沦陷,需要及时排查。
2.2.2 代理隧道类
在获取权限后,攻击方会使用代理工具搭建隧道进入内网,一般IPS规则只能检测到明文代理流量。一旦出现代理隧道的日志,也能说明形势较为危急,攻击方已打入内网。这些代理类日志包括socks的反向代理(earthworm),frp反向代理,及reduh、regeorg等各类web代理隧道规则。
2.2.3 横向扫描类
利用代理隧道进入内网的攻击方,可能通过ladon等工具进行网段、端口、服务探测,爆破,撞库方式进行内网密码破解。因此由内网ip发起的扫描探测日志,如果被内网的IPS检测到,这些日志也是非常值得关注的。
这几类重点事件规则,一般表明有系统被攻陷,因此这些规则的关注级别更高,即使出现的日志条数只有一条,也要优先处理。理解这类攻击和规则,需要有一定攻防基础,初级防守方人员可以多进行攻击负载和攻击类型的总结。
2.3 其他技巧
日志分析人员若不知道某条攻击日志的具体含义,无法判定攻击源ip是否可疑,可以分别根据源ip和事件的其他日志进行综合判断是否存在该ip的攻击意图。
如果理解常见业务通信流量和常见攻击负载的区别,防守方的分析人员一般也不知道IPS具体的规则的检测点,但可以根据IPS日志的攻击负载,初步判断是攻击试探还是执行高危命令。
一般客户是部署安全事件自动处置系统,很多经验技巧已经转换成到系统内进行自动处理了。但是在防守方未配置此类系统的情况下,如果分析人员具备一定脚本编写能力,也能写脚本自动化处理日志数据,筛选出高风险源ip进行批量处理,及时发现失陷资产。
3 总结
整体来看,IPS日志分析人员,需要对各类厂商的IPS设备事件都比较熟悉,毕竟分析人员一般不会接触到IPS的规则定义,能依赖的主要还是自己对攻击负载的理解、关联分析等。攻防演练属于高强度的对抗比赛,需要分析人员坚持不懈的细心分析,才能避免攻击方的突破。
来源:freebuf.com 2021-03-05 16:15:29 by: 新华三攻防团队
请登录后发表评论
注册