随着网络安全态势逐渐严峻,网络威胁开始关系到关键基础设施和国计民生,网络安全问题上升为国家安全层面的挑战。为了落实“实战化、常态化、体系化”的关键基础设施保护体系要求,年起,越来越多的行业和安全厂商加入到攻防演练中,定期操演,暴露隐患,培养能打硬仗的专业后备力量。
作为演练中重要的角色之一——防守方,其主要职责是负责攻防演练中的防守。依托参演单位现有网络安全防御体系,完成实战中的网络安全事件监测、预警、分析、验证、溯源和处置。其中,对威胁的有效识别和及时响应,是防守方工作中最重要的一环,新华三安全攻防实验室结合多年经验,输出防守方演练攻略之日志分析技巧,以供分享探讨。
总体思路
NGFW、IPS、WAF、蜜罐等网络安全设备构筑起网络边界上的一道道防线,在演练实战中,这些设备都可能产生海量告警,能准确及时地分析日志,从日志中发现攻击方的痕迹,后续的预警、处置和溯源才有据可循,有效日志分析也能及早阻断或击退攻击方的进攻,逼其放弃尝试或者转移攻击目标。因此,日志的快速处理对于守方至关重要。哪怕部署了态势感知、SIMES等安管平台,鉴于平台对各厂家日志的兼容性、平台自身关联规则的通用性、以及对战时特殊场景的策略适配度,都无可避免的产生告警偏差,因此,对于防守方而言,人工对传统安全设备的日志走读是不可避免的。
攻击告警日志分析,首先需要具备一定的攻防基础知识,能读懂日志所对应攻击、漏洞或工具流量的大致含义,其次可以从攻击方和正常业务角度分析思考日志的产生机理,再次,需要对于各类日志形成自己的总结经验,后续碰到相似情况可果断处置。
技巧总结
1、识别攻击源IP
在攻防演练前期,最重要的是识别出攻击方的IP并进行及时处理。攻击方源IP打出的日志通常具有以下类别及特点:
扫描探测类
演练期间,很多局点扫描探测类日志占所有攻击日志(IPS)的90%以上,此类日志主要来源于自研/开源全网扫描器、僵尸网络发起的自动化感染传播。
而在攻防演练实战中,攻击者通常采用搜索引擎对目标进行资产收集。在找到资产的网络区间后,细心的攻击方会对C段进行全端口扫描,通过连续的端口扫描日志或者NMAP指纹信息日志,通常能判定出攻击者针对性的网络探测行为,很可能是演练攻击方。
同时,有的攻击方在探测目标时,会使用自研的扫描器进行主动扫描,或者通过代理转发至XRay、W13SCA扫描器进行被动扫描。这种扫描会在短时间内出现一个源IP对一个目标服务器大量的SQL注入、XSS等常规的WEB漏洞等攻击日志,这种情况基本也能判定为攻击方行为。
这类扫描类日志,特点是日志量特别大,攻击源IP相对固定,攻击持续时间短或长或短,扫描产生的日志类型较多。值得注意的是,很多客户网络是部署有负载均衡和反向代理设备的,需要获取到日志的真实源IP才能进行针对性的防护,切忌直接封堵,以免影响业务。
手工试探类
在高水准的对抗和演练中,攻击方通常不会进行盲目的扫描。在找到目标资产后,他们会进行谨慎的手工尝试,这类尝试性的日志,很容易被大量的扫描日志所淹没。因此,对于某些提示攻击方意图的告警日志,也需要进行重点处理。
比如攻击方找到上传点,会进行手工上传测试,找到疑似Struts2,ThinkPHP框架的系统,会用开源工具或者带编码绕过的自研工具进行尝试,在登录框进行SQL手工尝试,或者用Shiro反序列化工具尝试等。这些攻击流量产生的日志数量极少,却不能被防守方轻易忽略,可以针对最近一年或近年爆出的漏洞、以及客户资产情况,进行有针对性的日志搜索,一旦发现,可以进行封堵或加固,同时顺藤摸瓜,或去态势感知等平台上进行上下文关联,进一步判断攻击是否成功、摸出攻击者意图。
这类能反映攻击方意图的尝试类IPS检测规则列表,可以在实战中加以总结和积累。
异常属性类
考虑到攻方可能将扫描器和C2服务器部署在个人VPS上,而这些VPS极有可能是个人购买的云服务。在攻击日志分析时,对于IP归属地是国内外的云服务商的情况都需要加以