終端保護(hù)解決方案或入侵檢測系統(tǒng)（IDS）可以基于啟發(fā)式方法、特征碼以及新解決方案中的人工智能來檢測惡意事件。它們通過電子郵件、Syslog、Webhooks或其他方式生成警報(bào)。然而，有效地分析這些警報(bào)消息的根本原因，以識(shí)別和響應(yīng)潛在威脅，需要先進(jìn)的工具和方法。
本文探討了IOTA網(wǎng)絡(luò)流量捕獲和分析解決方案如何使安全專業(yè)人員能夠分析IDS警報(bào)消息，從而全面提升網(wǎng)絡(luò)安全。
一、流量捕獲
第一步是捕獲受影響的流量。使用IOTA捕獲網(wǎng)絡(luò)流量有兩種選擇：內(nèi)聯(lián)（in-line）或通過SPAN連接。如果我們已永久部署IOTA，可以在警報(bào)出現(xiàn)后立即對流量模式進(jìn)行回溯分析。IOTA在網(wǎng)絡(luò)中的放置位置必須根據(jù)預(yù)期應(yīng)用決定。
二、流量分析
我們的分析過程取決于消息是來自終端檢測與響應(yīng)（EDR）系統(tǒng)還是入侵檢測系統(tǒng)（IDS）。因此，我們描述了分析安全警報(bào)的各種方法。
三、尋找“零號(hào)病人（patient zero）”
名詞解釋：在網(wǎng)絡(luò)安全領(lǐng)域，“Patient Zero”（零號(hào)病人）是一個(gè)重要的概念，用于描述首次感染惡意軟件或病毒的用戶或設(shè)備。其識(shí)別和防御對于控制惡意軟件的傳播至關(guān)重要。
回溯分析的第一步是選擇所需的時(shí)間窗口。我們可以在IOTA界面的右上角區(qū)域中選擇絕對時(shí)間窗口（從某個(gè)時(shí)間到另一個(gè)時(shí)間）或相對于當(dāng)前時(shí)間的時(shí)間窗口。時(shí)間窗口應(yīng)盡可能限制，以簡化后續(xù)分析。

圖 1：在 IOTA 面板上應(yīng)用相對或絕對時(shí)間過濾器

我們從受影響的主機(jī)開始搜索攻擊者。讓我們從首次檢測到攻擊或異常行為的主機(jī)開始，找到所謂的 “0 號(hào)病人”，并相應(yīng)地限制時(shí)間窗口。
如果是已知攻擊，則可以專門搜索通信模式，如特定目標(biāo)端口。我們還以此為例。我們假設(shè)一個(gè)文件服務(wù)器受到勒索軟件攻擊，該服務(wù)器通過網(wǎng)絡(luò)中的服務(wù)器消息塊（SMB）提供服務(wù)。服務(wù)器的 IPv4 地址是 192.168.178.6。
我們知道 SMB 在 TCP 端口 445 上運(yùn)行，因此我們對該目標(biāo)端口進(jìn)行過濾。這表明，在加密時(shí)間窗口內(nèi)，只有 192.168.178.22 客戶端與文件服務(wù)器建立了 SMB 連接。

圖 2：按目的地端口 445 和 IP 地址 192.168.178.6 過濾的視圖。流量圖也經(jīng)過過濾

在這里，我們使用過濾器 “IP_SRC = 192.168.178.22 ”來檢查客戶端 192.168.178.22 不久前建立了哪些通信關(guān)系，并明確是命令和控制流量還是下載流量。
在此之前，只有一個(gè)通信關(guān)系離開了內(nèi)部網(wǎng)絡(luò)，具體來說，是一個(gè)在目標(biāo)端口 443 上使用 TLS 的 TCP 連接，即 HTTPS。在這里，我們使用 IOTA 的下載功能下載了整個(gè)數(shù)據(jù)流和相應(yīng)的數(shù)據(jù)流?，F(xiàn)在，我們可以檢查客戶端 hello 中的 TLS 擴(kuò)展服務(wù)器名稱指示 (SNI)，以明確客戶端使用哪個(gè)主機(jī)名建立連接。

圖 3：概覽儀表板上的流量列表。我們可以將其下載為 PCAPNG 格式，詳細(xì)查看特定流量，或通過選擇 “+”符號(hào)進(jìn)行包含過濾，或選擇“-”符號(hào)進(jìn)行排除過濾

由于 TLS 加密，下載本身無法以純文本形式識(shí)別，因此必須在日志文件中對客戶端進(jìn)行進(jìn)一步分析。這表明用戶下載并安裝了一個(gè)惡意程序，然后通過分析的 SMB 網(wǎng)絡(luò)共享對文件進(jìn)行加密。
這些步驟為我們提供了導(dǎo)致攻擊的 IP 地址、主機(jī)名和文件。不過，在某些情況下，下載惡意軟件的服務(wù)器只是攻擊者的 “前端服務(wù)器”，它們也會(huì)不時(shí)發(fā)生變化。
不過，由于網(wǎng)絡(luò)中的橫向移動(dòng)在攻擊事件中通常是可以識(shí)別的，因此還應(yīng)檢查其他客戶端，因?yàn)槭苡绊懙目蛻舳丝赡芤呀?jīng)分發(fā)了惡意軟件。如果在受影響的客戶端上無法識(shí)別外部通信關(guān)系，則應(yīng)檢查所有內(nèi)部通信模式，看是否有異常情況可能將惡意軟件帶到客戶端 192.168.178.22。
要首先識(shí)別該主機(jī)與哪些遠(yuǎn)程站進(jìn)行過通信，我們可以進(jìn)入 “概覽 ”儀表板，然后單擊流程圖中的 IP 地址。然后，IOTA 會(huì)對點(diǎn)擊的 IP 地址應(yīng)用帶有源地址和目標(biāo)地址的 IP 過濾器。

圖 4：通過 IP 地址過濾并查看捕獲的流量

在這幅圖中，我們可以看到兩個(gè)流量。我們隨后可以識(shí)別出幾種基于 IPv4 的通信模式。在示例中，主機(jī)與其他六個(gè)地址通信，其中一個(gè)是廣播地址 (255.255.255.255)，192.168.178.1 是網(wǎng)關(guān)。我們還可以看到組播地址 224.0.0.251 和 239.255.255.250。這樣就只剩下 192.168.178.6 和 192.168.178.25。由于 192.168.178.6 本身就是文件服務(wù)器，我們可以認(rèn)為 192.168.178.25 是唯一的其他主機(jī)。
通過對 192.168.178.25 進(jìn)行過濾，我們可以調(diào)查與該 IP 連接的所有通信模式。如果只有一個(gè)流向 192.168.178.22，我們就可以認(rèn)為 192.168.178.25 是零號(hào)病人。
四、ARP 欺騙
在下面的示例中，客戶數(shù)據(jù)中心網(wǎng)絡(luò) IDS 報(bào)告了一次 ARP 欺騙攻擊。IDS 告訴我們，IP 地址 192.168.178.21 受此攻擊影響。我們需要獲取攻擊者的 MAC 地址，以便在網(wǎng)絡(luò)中搜索攻擊者所在的交換機(jī)和相應(yīng)端口。
客戶數(shù)據(jù)中心 IP 網(wǎng)絡(luò)是靜態(tài)尋址的，因此我們只能看到 IP 和 MAC 地址之間一對一的映射。我們進(jìn)入本地資產(chǎn)儀表板，使用 IOTA 調(diào)查此 IDS 警報(bào)。

圖 5：導(dǎo)航至本地資產(chǎn)儀表板

然后，我們可以通過執(zhí)行過濾規(guī)則 “IP_SRC = 192.168.178.21 ”來過濾源 IP 地址。我們可以在 “客戶端清單列表 ”下看到兩個(gè) MAC 地址。MAC 地址 14:1A:97:9E:AC:D5 是原始 Mac 地址。因此，攻擊者的 MAC 地址為 60:3E:5F:36:2B:5B，如下圖所示。

圖 6：我們可以看到關(guān)于 IP 地址 192.168.178.21 的兩個(gè) MAC 地址。因此，我們擁有兩個(gè) MAC 地址

現(xiàn)在，我們已經(jīng)掌握了在網(wǎng)絡(luò)上搜索交換機(jī)上攻擊者定位所需的全部信息。
五、TLS 降級
另一個(gè)例子是，我們連接到 TAP 的 IDS 系統(tǒng)生成了 TLS 降級攻擊警報(bào)信息。受影響的公司策略只允許 TLS 版本 1.2 和 1.3，因此我們需要調(diào)查哪些主機(jī)正在使用 TLS 版本 1.0 或 1.1。為此，我們導(dǎo)航到 SSL/TLS 概述儀表板。

圖 7：導(dǎo)航至 SSL/TLS 概述控制面板

在 SSL/TLS 總覽儀表板上，我們可以看到使用 TLS 1.1 或 1.0 的不安全配置，以及 SSL/TLS 服務(wù)器的配置欄。
如下圖所示，我們可以通過 “TLS_SERVER_VERSION < TLSv1.2 ”進(jìn)行過濾，只獲取不安全連接。在這里，我們有一臺(tái) IP 地址為 192.168.178.6 的服務(wù)器，它的 TLSv1 和 TLSv1.1 已激活，我們有 160 個(gè)流量受到不安全傳輸加密方法的影響。我們現(xiàn)在知道，只有這臺(tái)服務(wù)器會(huì)受到這種攻擊的影響。

圖 8：帶有不安全 TLS 版本過濾器的 SSL/TLS 總覽儀表板

之后，我們要調(diào)查該服務(wù)器是否也啟用了安全版本。在 SSL/TLS 總覽控制面板上，我們創(chuàng)建了 “IP_DST=192.168.178.6 ”過濾器，以便根據(jù)受影響的目標(biāo) IP 地址進(jìn)行過濾。我們可以看到，該服務(wù)器也啟用了 TLSv1.2 和 TLSv1.3 安全版本。因此，我們可以認(rèn)為該服務(wù)器受到了 TLS 降級攻擊的影響。

圖 9：SSL/TLS 概述儀表板，顯示 IP 地址 192.168.178.6 提供的所有 TLS 版本

六、端口掃描
我們的下一個(gè)安全事件由終端保護(hù)生成。IOTA 可以識(shí)別端口掃描并清除產(chǎn)生掃描的主機(jī)。因此，我們需要導(dǎo)航到 TCP 分析儀表板。

圖 10：導(dǎo)航至 TCP 分析儀表板

在 “TCP 分析 ”面板上，我們可以過濾 “不完整的 3 路或無數(shù)據(jù)（Incomplete 3-way w/o Data）”。這有助于我們將所謂的 TCP 半開啟作為不完整三向進(jìn)行檢查。
TCP 半開放有助于識(shí)別發(fā)送 SYN、等待 SYN/ACK 并保持握手開放的攻擊者。攻擊者可以在不通過 ACK 完成 TCP 握手的情況下獲得開放端口的信息。某些情況下會(huì)顯示握手?jǐn)?shù)據(jù)而不傳輸數(shù)據(jù)，這表明端口掃描。

圖 11：帶有源 IP 地址和目標(biāo) IP 地址過濾器的 TCP 分析儀表板，以及我們的指標(biāo) “不完整 3 路 ”和 “無數(shù)據(jù)”

七、為記錄目的導(dǎo)出數(shù)據(jù)
有時(shí)，需要導(dǎo)出捕獲的數(shù)據(jù)以進(jìn)行徹底的取證分析或進(jìn)一步調(diào)查。這一過程可按需或主動(dòng)執(zhí)行，確保我們不受 IOTA 存儲(chǔ)容量的限制。
我們可以導(dǎo)航到左側(cè)菜單中的 “IOTA 數(shù)據(jù)庫 ”選項(xiàng)，以方便進(jìn)行此操作。隨后，我們可以進(jìn)入 “捕獲導(dǎo)出”，選擇首選協(xié)議，即 WebDAV 或 FTP。單擊 “應(yīng)用 ”啟動(dòng)導(dǎo)出流程，即可配置憑證和錯(cuò)誤處理。按照該協(xié)議，捕獲的數(shù)據(jù)將以 PCAP 文件的形式上傳到指定的服務(wù)器，每隔三十秒上傳一次。

圖 12：定期導(dǎo)出到 WebDAV 服務(wù)器

IOTA 固態(tài)硬盤上的所有捕獲數(shù)據(jù)都可以作為 PCAPNG 文件在 IOTA 數(shù)據(jù)保險(xiǎn)庫的 “捕獲文件 ”部分進(jìn)行訪問。IOTA 每三十秒生成一次新的 PCAPNG 文件。我們可以按開始時(shí)間選擇所需的數(shù)據(jù)，然后點(diǎn)擊下載。下載捕獲文件后，我們可以根據(jù)需要在 Wireshark 中分析有效載荷。

圖 13：選擇并下載 PCAPNG 文件，以便在 Wireshark 中進(jìn)行進(jìn)一步研究

結(jié)論
IOTA 允許靈活的網(wǎng)絡(luò)集成和捕獲選項(xiàng)，以便對安全警報(bào)做出反應(yīng)。捕獲可以在報(bào)告警報(bào)后按需進(jìn)行，也可以作為永久滾動(dòng)捕獲進(jìn)行。
建議采用永久捕獲方式，以便在警報(bào)發(fā)出后立即提供所需數(shù)據(jù)進(jìn)行分析。
流量可以簡單地導(dǎo)出為 PCAPNG，然后在需要時(shí)導(dǎo)入進(jìn)行分析。IOTA 使我們能夠使用提供的儀表板快速有效地分析惡意通信模式。靈活的過濾器組合和深入分析選項(xiàng)可加快根本原因分析。

審核編輯 黃宇