美文网首页大数据黑客
记一次网络攻击流量样本分析过程

记一次网络攻击流量样本分析过程

作者: 爱看时事的通信崔 | 来源:发表于2019-12-13 12:06 被阅读0次

    传统的网络安全检测方法大多是基于已知规则库进行监测,然而这一方法对未知威胁则无能为力。与此同时,业界一直有一个观点,网络攻击者的行为一定和正常的网络访问行为不一样。所以,网络安全管理员们会定期通过分析网络流量,以进一步检测网络中是否存在未知攻击行为,本文就是对这样的一次网络攻击流量样本分析过程的记录。

    背景如下:某企业在互联网发现了公司的机密数据泄露,怀疑内网被入侵。于是网络运维工程师在入口设备上进行数据采集,并提取了怀疑被入侵的ip地址流量数据包,交给我分析是否确定存在网络攻击行为,以及具体的攻击细节是怎样的。

    为便于理解,本文主要使用科来的网络分析软件,而不是wireshark进行数据分析

    1. 首先载入疑似攻击流量的cap数据包,在软件的“协议”标签页可以看到,数据包会话都是TCP报文,因此到“TCP会话”页对其进行分析。
    流量总体情况
    1. 在“TCP会话”标签页,观察“开始发包时间”列(按该列排序),大概推断出涉及两次木马窃密攻击过程,一次是2014年5月8日,另一次是2014年9月11日。同时,观察“节点1”(源ip地址)与“节点2”(目的ip地址),可知被攻击目标ip(泄密终端)是192.168.130.30,而攻击者ip是变化的,分别为202.145.16.4与125.152.136.133,攻击者ip的切换与攻击时间的变化一致。
    TCP会话总体情况
    1. 为了方便分析,将所涉及到的3个ip地址按照归属地分别命名为“目标”、“日本攻击者”、“韩国攻击者”。
    TCP会话总体情况
    1. 刚才说到,数据涉及两次攻击。进一步分析,第一次攻击涉及5个TCP会话,其它会话均属于第二次攻击。首先双击第一次攻击的第1个会话,进入TCP流分析窗口。
    第一次攻击
    1. 此会话有3个数据流,在TCP握手环节,攻击者首先向目标的443端口发送SYN包,目标正常回应SYN+ACK包,说明端口开放且未被网络安全设备封堵。随后,攻击者立即发送RST包断开连续。我们注意到,SYN包携带了276字节的额外数据,这和正常的三次握手环节明确有区别,有理由怀疑该SYN有攻击迹象。
    异常的SYN
    1. 果然,在这个异常的SYN包后,目标立即主动回连攻击者。我们推断出,这个SYN包携带的数据应该起到一个激活木马的作用。目标先后发起4个TCP会话,特别需要注意的是最后一个会话,向攻击者发送了9.42MB的数据。另外,不同的会话在同一时间结束,推断出应该是一个多进程的窃密木马,有的进程用于传输数据,有的用于发送控制命令。
    第一次攻击分析
    1. 接下来分析第二次攻击。与上一次相比,时间跨度有近四个月,攻击者所用ip地址也从日本切换到韩国。首先双击第1个会话,弹出TCP流分析窗口。
    第二次攻击总体情况
    1. 第1个会话有4个数据流,攻击者首先向目标的443端口发送SYN包,与第一次攻击不同的是,没有携带额外数据,目标正常回应了SYN+ACK包。可以看出,该端口开放且未受网络安全设备封堵,随后攻击者发送RST包重置连接。推测,该会话是攻击者用来探测目标主机443端口是否仍然开放,毕竟距离上一次攻击已经过了近四个月的时间。
    第二次攻击第一个会话
    1. 接下来第2个会话,与第一次攻击特征完全一样,通过TCP握手的SYN包携带额外数据进行木马的激活操作,携带数据的长度仍是276字节。
    第二次攻击SYN包
    1. 再看第3个会话,和上次攻击一样,目标立即主动连接攻击者的443端口,但先后发的6个SYN包都没有成功建立连接,攻击者始终没有响应目标的连接。这当然不会是攻击者的变化,而应该是目标网络环境发生了变化,我们推测网管人员发现了上次攻击的痕迹,向防火墙添加了阻断目标主机外联443端口的规则。
    第二次攻击变化
    1. 接下来又是一个明显与正常网络访问不同的地方,连续进行的端口验证行为。这应该是,攻击者发现了异常,连续向目标发送443连接(8个会话中的7个),试图确定目标可达。比较特殊的是,第6个会话是攻击者向目标25端口发起连接请求,我们双击这个会话查看详情。
    攻击者检测终端环境
    1. 可以看到,目标的25端口打开了,我们可以轻松推断,这是一台邮件服务器。那么攻击者的意图应该是,证明目标仍然是一台邮件服务器,用途没有发生变化。
    邮件服务器端口开放情况
    1. 再往下,通过上面的踩点,攻击者切换了攻击思路,既然443端口无法回联,那么110端口呢?我们看到目标回联了攻击者的110端口,毕竟作为邮件服务器,连续彼端110端口进行邮件收取也是正常的,防火墙应该会放开端口。
    攻击思路转变
    1. 对攻击者来说,好景不长,仅仅0.1毫秒以后,目标即发出了RST包重置连接,从0.1毫秒的响应时差来看,应该是从目标内网的安全设备发出的,例如IPS入侵检测发现攻击行为后通知防火墙进行阻断的方式。显然,目标内网的安全防护有所增强。
    攻击又被阻断
    1. 接下来2次会话,攻击者又发起2个控制会话,而目标又回联攻击者的110端口。不出所料,均以收到安全设备的RST重置连接收场。
    再次尝试并被阻断
    1. 接下来的数据,可以看到,连续的失败并没有让攻击者放弃。我们站在攻击者的角度,目标终端是邮件服务器这一性质没有改变,25和110端口也没有被封堵,虽然被回联的时候目标网络的安全设备阻断。进一步试想,安全设备基于的是已知规则,如果对方认为110端口(POP3收取邮件)外联属于非常,那么25端口(smtp发送邮件)呢?可能因为正是这一判断,攻击者重新激活目标,并通过25端口实现回联。认真观察,我们又发现了一处和正常网络访问不一样的地方,目标回联攻击者的25端口,却使用的是HTTP协议(正常应该是SMTP协议),非常不合理。
    25端口回联
    1. 双击进入详细分析,查看数据流,可以看到目标通过HTTP协议向攻击者请求下载名为“sendmail”的文件,文件以ELF开头,是Linux系统下的可执行文件格式,这么异常的文件显然应该是一个木马。我们推测是攻击者通过这个文件对原有木马进行了更新,以应对目标网络环境发生的变化。
    下载可执行文件
    1. 木马更新后,目标立即成功回联攻击者,使用的是攻击者所验证的可以突破目标网络安全防护的25端口,所用协议也更改为SMTP协议(刚才是HTTP协议)。会话一直持续了两个多小时,且攻击者发送的数据多于所接收的,可以推测该会话为木马控制进程所使用的会话。
    控制进程
    1. 随后攻击者又启动了第2个进程作为传输通道,并窃取了10M的数据。
    窃取数据

    到这里,剩余的数据就不用分析了,我们很确定的告诉了该企业相关负责人,他们的邮件服务器被入侵了,具体入侵细节和步骤如上。

    相关文章

      网友评论

        本文标题:记一次网络攻击流量样本分析过程

        本文链接:https://www.haomeiwen.com/subject/enlfnctx.html