数据驱动的威胁检测和攻击溯源—学习笔记
本篇主要是对[1]的学习笔记。
攻击意图
- 个人恩怨
- 利益驱动
- 诈骗
- 勒索
- 引流
-
挂暗链
-
个人爱好
-
政治目的
-
竞争对手
攻击面
-
外网打点
-
权限提升
-
DDOS
-
内网渗透
Web攻击路径
- 信息搜集
- 攻击尝试
- 打点成功
-
权限提升
-
完全控制
- 内网探测
- 横向扩展
- 维持权限
常见的检测及方法
被动检测
- IDS
- IPS
- WAF
- ...
主动检测
- 主机日志分析
- Linux日志
- Windows日志
-
应用日志分析
-
流量入侵检测
日志分析方法
登录日志
- 登录次数
- 登录失败
- 异常登录
- 异常用户登录
- 非工作时间登录
操作日志
- 执行的命令
- TODO
配置文件
- 新添加项
- 计划任务
- 开机启动
- 被修改
Web日志分析
IP
-
异常IP
-
请求次数
- 请求频率
- 异常请求
UA
- 可疑UA
- 一些攻击器的UA特征
- UA统计
- 统计量大的,或者任务其可疑的
攻击特征
- 后门特征
- 后门的特征
- 漏洞特征
- 特殊路径
- 管理后台的路径
- 敏感的接口
时间
- 异常时间
- 时间段统计
- 结合业务
URL入口
- 高频访问
- 低频访问
- 敏感路径
- 同“特殊路径”
- 入口对比
- 哪些是正常的、业务的
- 后门访问
日志分析技巧
- 总的来说先筛后选再分析
- 筛掉正常的、没有用的
- 选择可以的
- 进行分析和验证
- TODO
攻击溯源
- 攻击残留特征
- CC地址信息
- 攻击者IP
数据驱动的检测
需要的数据
- 第三方数据
- 威胁情报数据
- SIEM数据
- 网络设备日志
- 主机日志
- Web应用日志
- 终端数据
- 进程日志
- 杀毒日志
- 流量数据
- DNS
- HTTP/WebMail/FTP,进行重放还原
- SMTP/POP3/IMAP
- SMB,服务器消息块(SMB,Server Message Block),常用于网络共享
- oracle/mysql/sqlserver
- LDAP/SSL
检测面
事件发现
- 攻击检测
- CC攻击
- Web漏洞
行为分析
- 基线分析
- 群体分析
- 账号异动
- 终端行为
- 越权行为
场景还原
- 攻击手法
- 利用工具
攻击溯源
- 网内活动
攻击溯源技巧
- CC域名很多时候会经常变化,且域名注册信息也会有盗用或不真实的情况,这时候就要结合其他维度的信息进行交叉的分析,比如通过检测发现一系列的CC域名都属于同一个DNS进行的解析,且历史DNS的解析时间、数量等都相似,虽然其注册信息都不同,但可能推测其属于同一攻击者/团伙
References
[1] 数据驱动下的威胁检测与攻击溯源, https://www.aqniukt.com/course/2062/task/40647/show