赞
踩
IPS,WAF等网络安全设备构筑起网络边界上的第一道防线,在攻方演练实战中,能准确及时地分析日志,从日志中发现攻击方的痕迹,对于防守方至关重要。针对初中级防守方人员如何快速分析IPS日志的问题,本文从IPS规则开发人员视角分享几条常用的经验,欢迎交流讨论。
IPS日志分析人员,首先需要具备一定的攻防基础知识,能读懂IPS日志所对应攻击、漏洞或工具流量的大致含义,其次可以从攻击方和正常业务角度深度思考日志的来源,再次对于各类日志形成自己的总结经验,后续碰到相似情况可果断处置。
在攻防演练前期,最重要的是识别出攻击方的ip,进行及时防护处理。攻击方源ip打出的日志具有以下类别及特点:
扫描探测类日志占所有日常IPS日志的90%以上,此类日志主要来源于自研/开源全网扫描器、僵尸网络发起的自动化感染传播。
而在攻防演练实战中,攻击者通常采用fofa,zoomeye等搜索引擎对目标进行资产收集。在找到资产的网络区间后,细心的攻击方会对c段进行全端口扫描,连续的端口扫描日志或者nmap指纹信息日志,通常能判定出攻击者是在针对性的对客户网络进行攻击探测,很可能是演练攻击方。
同时,有的攻击方在探测目标时,习惯性的会使用自研的扫描器进行主动扫描,或者通过代理转发至xray、w13sca扫描器进行被动扫描。这种扫描会在短时间内出现一个源ip对一个目标服务器大量的SQL注入、XSS等常规的WEB漏洞等攻击日志,这种情况基本也能判定为攻击方行为。
这类扫描类日志,特点是日志量特别大,攻击源ip相对固定,攻击持续时间短或长或短,扫描产生的日志类型较多。值得注意的是,很多客户网络是部署有负载均衡和反向代理设备的,需要获取到日志的真实源ip才能进行针对性的防护,否则日志可能记录的是代理设备的内网ip。
在激烈的攻防对抗中,很多攻击方不会进行盲目的扫描。在找到目标资产后,他们会进行谨慎的手工尝试,这类尝试性的日志,很容易被大量的扫描日志所淹没。因此,对于某些提示攻击方意图的告警日志,也需要进行重点处理。
比如攻击方找到上传点,会进行手工上传测试,找到疑似struts2,thinkphp框架的系统,会用开源工具或者带编码绕过的自研工具进行尝试,在登录框进行SQL手工尝试,或者用shiro反序列化工具尝试等。这些攻击流量产生的日志数量极少,却不能被防守方轻易忽略。
这类能反映攻击方意图的尝试类IPS检测规则列表,我们在进行归纳和总结,反馈给服务人员和客户参考。
考虑到攻击方有很多扫描器和C2服务器都部署在个人vps上以方便一键使用,这些vps有可能是个人购买的云服务器。在分析攻击日志时,如果源ip归属地是国内外的云服务商,则值得特别警惕。
有的攻击方会在深夜乘防守方警惕性降低时进行攻击尝试,因此半夜出现的攻击日志源ip,也属于值得关注。
攻击源ip的时间段属性也可以简单分析,例如某个源ip只在攻防演练开始之才出现日志,而之前并未打出过攻击日志,很可能来自于演练攻击方。
单纯从攻击日志的各类属性特点来分析日志,也能起到一定作用。
在攻防演练中后期,更需要关注一些重点事件,及时发现风险。攻击方会使用很多0day和针对防护设备的变形绕过工具,因此防护设备很难全面覆盖到攻击链的每一个点,这时针对重点事件的分析就极有意义。这些重点事件类型包括:
Webshell连接工具,包括老式的大马,小马,菜刀,及各类新式的冰蝎,哥斯拉,天蝎,内存马等;木马远控连接工具,包括cobalt
strike的命令下发流量(HTTP协议)和证书指纹规则(HTTPS协议),msf自带木马meterpreter及各类开源远控等。这些工具通信流量产生的日志(部分工具的加密流量通信单纯靠规则无法检测,所以不会产生)是十分值得关注的,出现相关日志说明服务器或者PC已经沦陷,需要及时排查。
在获取权限后,攻击方会使用代理工具搭建隧道进入内网,一般IPS规则只能检测到明文代理流量。一旦出现代理隧道的日志,也能说明形势较为危急,攻击方已打入内网。这些代理类日志包括socks的反向代理(earthworm),frp反向代理,及reduh、regeorg等各类web代理隧道规则。
利用代理隧道进入内网的攻击方,可能通过ladon等工具进行网段、端口、服务探测,爆破,撞库方式进行内网密码破解。因此由内网ip发起的扫描探测日志,如果被内网的IPS检测到,这些日志也是非常值得关注的。
这几类重点事件规则,一般表明有系统被攻陷,因此这些规则的关注级别更高,即使出现的日志条数只有一条,也要优先处理。理解这类攻击和规则,需要有一定攻防基础,初级防守方人员可以多进行攻击负载和攻击类型的总结。
日志分析人员若不知道某条攻击日志的具体含义,无法判定攻击源ip是否可疑,可以分别根据源ip和事件的其他日志进行综合判断是否存在该ip的攻击意图。
如果理解常见业务通信流量和常见攻击负载的区别,防守方的分析人员一般也不知道IPS具体的规则的检测点,但可以根据IPS日志的攻击负载,初步判断是攻击试探还是执行高危命令。
一般客户是部署安全事件自动处置系统,很多经验技巧已经转换成到系统内进行自动处理了。但是在防守方未配置此类系统的情况下,如果分析人员具备一定脚本编写能力,也能写脚本自动化处理日志数据,筛选出高风险源ip进行批量处理,及时发现失陷资产。
整体来看,IPS日志分析人员,需要对各类厂商的IPS设备事件都比较熟悉,毕竟分析人员一般不会接触到IPS的规则定义,能依赖的主要还是自己对攻击负载的理解、关联分析等。攻防演练属于高强度的对抗比赛,需要分析人员坚持不懈的细心分析,才能避免攻击方的突破。
,能依赖的主要还是自己对攻击负载的理解、关联分析等。攻防演练属于高强度的对抗比赛,需要分析人员坚持不懈的细心分析,才能避免攻击方的突破。
这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CqHlz3B9-1690874391628)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ukM7h40q-1690874391630)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
网络安全导论
渗透测试基础
网络基础
操作系统基础
Web安全基础
数据库基础
编程基础
CTF基础
该阶段学完即可年薪15w+
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cqHONhx4-1690874391631)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-y0pR61JZ-1690874391632)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MYsMyrJx-1690874391633)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
蓝队基础
蓝队进阶
该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。
攻防兼备,年薪收入可以达到40w+
需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。