一、背景
近年来,基于APT级别或0day攻击的威胁不断进化,防守方可参考govCAR、DoDCAR、NSA CTF、Cyber Kill Chain、MITRE ATT&CK等框架开展威胁建模和数据分析。
威胁是动态的,能感知的痕迹分布在各个位置、存在一定程度的交互协同。数据分析是一个漫长的实验和积累过程,本文将列举常见的数据分析方式和linux、windows数据分析要点。
二、设计目标
通过常见数据源分解、数据分析方法宣贯(大数据分析算法)、linux数据分析要点(历史记录、文件时间属性)、windows数据分析要点(4624),明确应急响应和数据分析过程中的方法论和关注内容,快速锁定威胁和攻击者痕迹。
三、常见数据源
四、数据分析方法
以DNS域名熵值为例,可用于分析DGA域名等恶意域名,帮助安全人员锁定恶意域名:比较bbbbb.com和google.com,其中bbbbb.com比google.com有着非常直观的“复杂度低”的特点。经过计算:
bbbbb.com的熵值复杂度是:-{(5/9)*ln(5/9)/ln(2)+(1/9)*ln(1/9)/ln(2)*4}=1.87google.com的熵值复杂度是:-{(2/10)*ln(2/10)/ln(2)+ (3/10)*ln(3/10)/ln(2)+ (1/10)*ln(1/10)/ln(2)*5}=2.64
*左右滑动查看更多
五、Linux数据分析
01
命令执行类如何溯源分析?
|
|
|
|
02
文件修改时间如何锁定?
|
|
|
|
六、Windows数据分析
01
Logon和account logon
在微软系统中,登录过程会触发认证、登录、权限分配、策略分配等多个子过程,其中我们关注的认证和登录的过程往往存在混淆。
认证account logon(又叫authentication)和登录(logon)是不同的概念,可以发生在不同机器上,尤其是域环境下。Logon登录过程,仅发生在“用户取得权限的目标机器”上,而authentication认证过程发生在“用户账户配置信息存储的机器上”。
如果使用本地Local账户登录计算机,那么logon登录和authentication认证过程均发生在该本地计算机上;如果使用域账户登录计算机,那么域成员机器会负责Logon过程,但是authentication认证过程发生在DC域控上。
Logon登录中,日志类型4624,涉及多种登录方式,包括常见的交互式登录(type 2)、网络登录(type 3)、newcredentials登录(type 9)、远程登录(type 10)等。
|
|
Authentication认证过程,日志类型4776和4768、4769等,主要描述登录账户的认证流程。通常,DC域控上的认证记录提供了一种“追踪所有域账户认证”的方法,使得安全分析人员不必逐台机器采集、分析。
在域环境中,认证通常采用NTLM、Kerberos等两种方式。微软推出kerberos来替代NTLM,但是存在部分情况下,NTLM依然通用:
|
|
NTLM和Kerberos作为微软两种重要的认证协议,NTLM没有属于自己的协议族和协议规范,只能寄生在其他网络协议中进行交互、但Kerberos是有的。
|
|
02
常见业务的认证与登录
|
|
具体实验测试方式举例如下:
Psexec
使用域外机器通过psexec工具,使用域账号访问域内机器。在DC域控上出现4776等认证日志:
|
|
在被访问的win机器上出现4624 logon,类型3:
|
|
PTH攻击-msf
在kali环境下,支持几种PTH攻击,包括msf的exploit/windows/smb/psexec模块和kiwi_cmd(mimikatz) /run模块。
其中,使用msf的exploit/windows/smb/psexec模块进行pth攻击:
|
|
在被访问的win机器上看到4624日志,类型3:
|
|
4624分析原则
若想找到真实发起认证/登录请求/攻击行为的src机器,需要获取“被登陆机器”的4624日志、或者DC域控日志的4776等认证日志。
若想统计哪些域账号被使用、哪些域成员机器被访问/被攻击,需要获取DC域控的4624日志(类型3)。
在DC域控中仍可看到logon登录4624,类型3,登陆进程kerberos,此类日志中记录的网络信息源IP是被登录的目标win机器,这是一个被登陆win机器到域控请求(做认证)的过程。
七、安恒信息解决方案
01
安恒态势感知
|
|
AiLPHA安全分析与管理平台以基础安全资源为底层基础支撑,安全中台为中层能力输出,上层业务应用灵活满足智能安全运营需求,架构图如上图所示。
02
安恒日志审计
|
|
明御®综合日志审计分析平台(简称DAS-Logger)作为信息系统的综合性管理平台,通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全。
明御®综合日志审计平台通过基于国际标准化的关联分析引擎,为客户提供全维度、跨设备、细粒度的关联分析,透过事件的表象真实地还原事件背后的信息,为客户提供真正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平台,将所有的日志信息收集到平台中,实现信息资产的统一管理、监控资产的运行状况,协助用户全面审计信息系统整体安全状况。
03
安恒数据分析服务
针对日志数据、流量数据、终端信息、样本信息等开展综合关联分析,形成高级数据和威胁分析,形成定制化数据分析报告和攻击链复盘报告。
|
|
— 往期回顾 —
原文始发于微信公众号(安恒信息安全服务):九维团队-青队(处置)| 网络安全数据分析
