- 天眼三大功能:传感器(对流量解析还原,发现网络攻击和web攻击能力) 沙箱(发现恶意样本投递能力) 分析平台(存储历史流量,分析威胁和溯源能力)
- 天眼威胁感知: 警告类型:APT攻击 威胁级别:高危 攻击结果:失陷 攻击次数:3
- 天眼搜索:源IP sip 目的IP dip 地理信息:境内还是境外 搜索示例:(sip:"192.168.1.1")OR(dip:"192.168.1.1")
- 天眼类别:
- 威胁感知
- 调查分析
- 场景化分析
- 日志检索 例子:search sip:"10.1.1.1/8" |tcp 100 dip
- 资产
- 报表
- 安全服务
- 系统管理
- 天眼语法:
- 天眼分析:
- web攻击分析思路:
- web攻击:查看请求包 与 响应包(有没有报红,有没有攻击成功)
- 查看告警详情(查看请求头、请求体内容,定位到告警攻击动作的payload)
- 分析攻击动作是什么(读取文件、打印输出内容、写入文件和尝试下载文件,执行函数或命令 XSS XXE webshell等)
- 分析响应(分析告警响应头,响应体,网络行为是否有动作预期的结果)
- 僵木蠕毒类告警分析思路:
- 爆破和踩点行为分析:
- 登录爆破类:单个IP,使用多个用户名和密码组合进行登录尝试,导致短时间内大量登录失败
- 目录和资源爆破:短时间内访问大量url,触发大量404
- 手段:1.找到爆破行为IP,阻断爆破行为 2.找到攻击成功的IP 3.分析攻击IP的操作,编写事件报告
- ftp爆破:
- 日志检索使用天眼语法搜索爆破IP:normal_ret:failed AND proto:ftp
- 判断爆破成功行为:normal_ret:success AND proto:ftp AND sip:(攻击ip1 OR 攻击ip2)
- ssh爆破:
- 日志检索使用天眼语法搜索爆破IP:normal_ret:failed AND proto:ssh
- 判断爆破成功行为:normal_ret:success AND proto:ssh AND sip(攻击ip1 OR 攻击ip2)
- 数据库爆破:
- normal_ret:failed AND proto:(oracle OR mysql OR mssql OR postgresql)
- normal_ret:success AND proto:(oracle OR mysql OR mssql OR postgresql) AND sip:(攻击IP1 OR 攻击IP2)
- 远程桌面爆破:
- normal_ret:failed AND proto:rdp
- normal_ret:success AND proto:rdp AND sip:(攻击IP1 OR 攻击IP2)
- web登录入口爆破:
- 对弱口令就行分析:uri:爆破路径 AND sip:攻击ip,查找爆破的流量日志
- 目录和资源猜解:
- 根据域名和攻击ip进行分析:host:域名 AND sip:攻击IP,查询攻击IP的访问记录是否触发大量404响应
- 天眼失陷事件处理:
- 发现webshell和主机木马:
- 确认创建时间、功能分析等,查看访问日志,攻击行为记录等,通知主机所属人
- 对发现的webshell文件或木马进行排查处置
- 对webshell攻击路径进行溯源
- 溯源分析:
- 纵向溯源:定位时间:webshell首次访问前5-10分钟,网站受到什么攻击。uri:"webshell文件名" AND host:"域名",找到首次访问前5-10分,搜索条件可更改为: host:"域名",查看是否存在可疑的攻击行为。
- 横向溯源:查询所有访问木马的IP进行排查,排除自身验证和已知的IP外,以访问木马为突破点,查找访问木马的IP还访问了什么网址,进而找到其他后门文件。
- 中转代理:
- 关注点:时间 IP 日志 处置结果
- 方案:第一时间阻断清除代理,然后进行溯源分析,查询所有访问木马的IP进行排查,排除自身验证和已知的IP外,以访问木马为突破点,查找访问木马的IP还访问了什么网址,进而找到其他后门文件。
- 账号异常:
- 关注点:异常账号 创建时间 访问日志 登录日志 处置结果
- 方案:找到确认为爆破行为的IP后,查找爆破IP登录成功的流量,提取出来sip和用户名和密码。部分协议无法获得密码,但能确认登录成功行为。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
