你不知道的事——FlowEye之木馬C&C威脅檢測
責編:gill |2017-04-26 17:01:22在上期討論的內網威脅檢測方案中,見【一場美國大片引發的關于內網威脅檢測的思考】我們分析了APT的入侵特點與檢測手段。現在我們再回到電影《諜影重重5》的黑客攻擊片段中,當黑客開始下載機密文件時,CIA的安全人員迅速在這些正在被下載的文件中植入了惡意代碼,看過影片的人都記得,在后面的情節中,當這些帶有惡意代碼的機密文件在被打開時,惡意代碼會迅速地回連到CIA的監控系統,從而輕而易舉的定位到具體位置。
在這段情節中,我們重點關注的是惡意代碼通過與監控服務器進行通信,提供了惡意代碼運行主機的位置信息,這體現了惡意代碼的典型特點,即所謂的回連(Call-back)方式,與命令和控制服務器(C&C主機)進行信息的傳遞,并獲得下一步活動的指令。
回連行為分析
雖然惡意代碼的注入方式是多種多樣的,但回連行為是惡意代碼的共同的特征。通過分析,可以看到惡意代碼的回連行為主要有以下幾個步驟:
1被感染惡意代碼的主機(俗稱“肉雞”),通過網絡試圖與命令和控制服務器(稱為“Command&Control”或“C&C主機”)建立連接。
2成功連接后,C&C主機會向肉雞發出指令,讓其在某個特定的時間,執行特定的任務,包括HTTP訪問、發送垃圾郵件等等。
3根據C&C主機的指令,肉雞就會在特定的時間開始執行攻擊任務,而電腦的使用者可能完全沒有感知。
當肉雞與C&C主機的連接建立成功后,這臺主機就成為這個僵尸網絡的成員,并受到控制。在一個僵尸網絡中,肉雞的數量可能是幾千、幾萬甚至數百萬。那么接下來C&C主機就可以向肉雞發送指令,參與到各種網絡攻擊活動中,常見的攻擊類型包括:
◆?向特定網站發起網絡請求,如HTTP、DNS等,成為DDoS的幫兇。
◆?向特定郵件服務器,發送預先構造好的廣告郵件或病毒郵件。
◆?盜取內部數據并上傳到文件接收服務器,造成數據泄露事件。
◆?肉雞運行加密程序,通過C&C主機下載密鑰,對肉雞的文件進行加密。
對于最后一種類型,被感染惡意代碼主機上的文件將會被加密,甚至可能被勒索金錢,這也是加密勒索軟件的工作模式。由此可見,惡意代碼的回連行為帶有極大的危害性,一旦主機獲取了C&C主機發出的指令,就可能進行網絡攻擊。
啟明星辰FlowEye產品解決方案
啟明星辰FlowEye產品采用旁路鏡像的檢測方式,檢測被感染的終端或服務器到C&C主機的通信行為,檢測原理如下:
在上圖中,交換機節點對網絡中用戶、設備和流量的實時狀態進行感知并將主機的通信行為以鏡像流量的形式發送到FlowEye的流量探針,探針對流量完成解析之后,將相關的通信行為發給FlowEye集中數據中心,FlowEye集中數據中心對通信行為和目的地址進行分析,識別出肉雞到C&C主機的通信行為。整個過程如下:
- 被惡意代碼感染的主機,與C&C主機建立了通信連接;
- C&C主機的返回流量中包含了操作指令;
- 網絡設備記錄行為并將流量鏡像后發送到FlowEye流量探針;
- FlowEye流量探針對網絡行為進行分析和整理并發送到FlowEye集中數據中心;
- FlowEye集中數據中心通過與資產管理系統進行聯動,將網絡行為中相關的資產信息進行補全,同時結合FlowEye內置的威脅情報信息,對網絡行為和行為中的外部地址進行分析;
- FlowEye集中數據中心發出C&C通道告警,識別出肉雞訪問C&C主機的異常行為,并提供相應的內網資產信息。
結束語
沒有網絡安全,就沒有國家安全,尤其是木馬C&C的泛濫,更是對國家安全的挑戰。啟明星辰FlowEye幫助您保持內網的純凈,避免自身遭到損失的同時,也避免成為網絡犯罪的間接幫兇。