你不知道的事——FlowEye之木馬C&C威脅檢測
責(zé)編:gill |2017-04-26 17:01:22在上期討論的內(nèi)網(wǎng)威脅檢測方案中,見【一場美國大片引發(fā)的關(guān)于內(nèi)網(wǎng)威脅檢測的思考】我們分析了APT的入侵特點(diǎn)與檢測手段。現(xiàn)在我們再回到電影《諜影重重5》的黑客攻擊片段中,當(dāng)黑客開始下載機(jī)密文件時,CIA的安全人員迅速在這些正在被下載的文件中植入了惡意代碼,看過影片的人都記得,在后面的情節(jié)中,當(dāng)這些帶有惡意代碼的機(jī)密文件在被打開時,惡意代碼會迅速地回連到CIA的監(jiān)控系統(tǒng),從而輕而易舉的定位到具體位置。
在這段情節(jié)中,我們重點(diǎn)關(guān)注的是惡意代碼通過與監(jiān)控服務(wù)器進(jìn)行通信,提供了惡意代碼運(yùn)行主機(jī)的位置信息,這體現(xiàn)了惡意代碼的典型特點(diǎn),即所謂的回連(Call-back)方式,與命令和控制服務(wù)器(C&C主機(jī))進(jìn)行信息的傳遞,并獲得下一步活動的指令。
回連行為分析
雖然惡意代碼的注入方式是多種多樣的,但回連行為是惡意代碼的共同的特征。通過分析,可以看到惡意代碼的回連行為主要有以下幾個步驟:
1被感染惡意代碼的主機(jī)(俗稱“肉雞”),通過網(wǎng)絡(luò)試圖與命令和控制服務(wù)器(稱為“Command&Control”或“C&C主機(jī)”)建立連接。
2成功連接后,C&C主機(jī)會向肉雞發(fā)出指令,讓其在某個特定的時間,執(zhí)行特定的任務(wù),包括HTTP訪問、發(fā)送垃圾郵件等等。
3根據(jù)C&C主機(jī)的指令,肉雞就會在特定的時間開始執(zhí)行攻擊任務(wù),而電腦的使用者可能完全沒有感知。
當(dāng)肉雞與C&C主機(jī)的連接建立成功后,這臺主機(jī)就成為這個僵尸網(wǎng)絡(luò)的成員,并受到控制。在一個僵尸網(wǎng)絡(luò)中,肉雞的數(shù)量可能是幾千、幾萬甚至數(shù)百萬。那么接下來C&C主機(jī)就可以向肉雞發(fā)送指令,參與到各種網(wǎng)絡(luò)攻擊活動中,常見的攻擊類型包括:
◆?向特定網(wǎng)站發(fā)起網(wǎng)絡(luò)請求,如HTTP、DNS等,成為DDoS的幫兇。
◆?向特定郵件服務(wù)器,發(fā)送預(yù)先構(gòu)造好的廣告郵件或病毒郵件。
◆?盜取內(nèi)部數(shù)據(jù)并上傳到文件接收服務(wù)器,造成數(shù)據(jù)泄露事件。
◆?肉雞運(yùn)行加密程序,通過C&C主機(jī)下載密鑰,對肉雞的文件進(jìn)行加密。
對于最后一種類型,被感染惡意代碼主機(jī)上的文件將會被加密,甚至可能被勒索金錢,這也是加密勒索軟件的工作模式。由此可見,惡意代碼的回連行為帶有極大的危害性,一旦主機(jī)獲取了C&C主機(jī)發(fā)出的指令,就可能進(jìn)行網(wǎng)絡(luò)攻擊。
啟明星辰FlowEye產(chǎn)品解決方案
啟明星辰FlowEye產(chǎn)品采用旁路鏡像的檢測方式,檢測被感染的終端或服務(wù)器到C&C主機(jī)的通信行為,檢測原理如下:
在上圖中,交換機(jī)節(jié)點(diǎn)對網(wǎng)絡(luò)中用戶、設(shè)備和流量的實(shí)時狀態(tài)進(jìn)行感知并將主機(jī)的通信行為以鏡像流量的形式發(fā)送到FlowEye的流量探針,探針對流量完成解析之后,將相關(guān)的通信行為發(fā)給FlowEye集中數(shù)據(jù)中心,F(xiàn)lowEye集中數(shù)據(jù)中心對通信行為和目的地址進(jìn)行分析,識別出肉雞到C&C主機(jī)的通信行為。整個過程如下:
- 被惡意代碼感染的主機(jī),與C&C主機(jī)建立了通信連接;
- C&C主機(jī)的返回流量中包含了操作指令;
- 網(wǎng)絡(luò)設(shè)備記錄行為并將流量鏡像后發(fā)送到FlowEye流量探針;
- FlowEye流量探針對網(wǎng)絡(luò)行為進(jìn)行分析和整理并發(fā)送到FlowEye集中數(shù)據(jù)中心;
- FlowEye集中數(shù)據(jù)中心通過與資產(chǎn)管理系統(tǒng)進(jìn)行聯(lián)動,將網(wǎng)絡(luò)行為中相關(guān)的資產(chǎn)信息進(jìn)行補(bǔ)全,同時結(jié)合FlowEye內(nèi)置的威脅情報信息,對網(wǎng)絡(luò)行為和行為中的外部地址進(jìn)行分析;
- FlowEye集中數(shù)據(jù)中心發(fā)出C&C通道告警,識別出肉雞訪問C&C主機(jī)的異常行為,并提供相應(yīng)的內(nèi)網(wǎng)資產(chǎn)信息。
結(jié)束語
沒有網(wǎng)絡(luò)安全,就沒有國家安全,尤其是木馬C&C的泛濫,更是對國家安全的挑戰(zhàn)。啟明星辰FlowEye幫助您保持內(nèi)網(wǎng)的純凈,避免自身遭到損失的同時,也避免成為網(wǎng)絡(luò)犯罪的間接幫兇。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧