九维团队-青队(处置)| 网络安全数据分析

九维团队-青队(处置)| 网络安全数据分析


一、背景



近年来,基于APT级别或0day攻击的威胁不断进化,防守方可参考govCAR、DoDCAR、NSA CTF、Cyber Kill Chain、MITRE ATT&CK等框架开展威胁建模和数据分析。


威胁是动态的,能感知的痕迹分布在各个位置、存在一定程度的交互协同。数据分析是一个漫长的实验和积累过程,本文将列举常见的数据分析方式和linux、windows数据分析要点。



二、设计目标



通过常见数据源分解、数据分析方法宣贯(大数据分析算法)、linux数据分析要点(历史记录、文件时间属性)、windows数据分析要点(4624),明确应急响应和数据分析过程中的方法论和关注内容,快速锁定威胁和攻击者痕迹。



三、常见数据源



九维团队-青队(处置)| 网络安全数据分析



四、数据分析方法



九维团队-青队(处置)| 网络安全数据分析


以DNS域名熵值为例,可用于分析DGA域名等恶意域名,帮助安全人员锁定恶意域名:比较bbbbb.com和google.com,其中bbbbb.com比google.com有着非常直观的“复杂度低”的特点。经过计算:

bbbbb.com的熵值复杂度是:-{(5/9)*ln(5/9)/ln(2)+(1/9)*ln(1/9)/ln(2)*4}=1.87
google.com的熵值复杂度是:-{(2/10)*ln(2/10)/ln(2)+ (3/10)*ln(3/10)/ln(2)+ (1/10)*ln(1/10)/ln(2)*5}=2.64

*左右滑动查看更多



五、Linux数据分析



01

命令执行类如何溯源分析?


九维团队-青队(处置)| 网络安全数据分析


九维团队-青队(处置)| 网络安全数据分析

九维团队-青队(处置)| 网络安全数据分析

九维团队-青队(处置)| 网络安全数据分析



02

文件修改时间如何锁定?


九维团队-青队(处置)| 网络安全数据分析


九维团队-青队(处置)| 网络安全数据分析


九维团队-青队(处置)| 网络安全数据分析

九维团队-青队(处置)| 网络安全数据分析





六、Windows数据分析



01

Logon和account logon


在微软系统中,登录过程会触发认证、登录、权限分配、策略分配等多个子过程,其中我们关注的认证和登录的过程往往存在混淆。


认证account logon(又叫authentication)和登录(logon)是不同的概念,可以发生在不同机器上,尤其是域环境下。Logon登录过程,仅发生在“用户取得权限的目标机器”上,而authentication认证过程发生在“用户账户配置信息存储的机器上”。


如果使用本地Local账户登录计算机,那么logon登录和authentication认证过程均发生在该本地计算机上;如果使用域账户登录计算机,那么域成员机器会负责Logon过程,但是authentication认证过程发生在DC域控上。


Logon登录中,日志类型4624,涉及多种登录方式,包括常见的交互式登录(type 2)、网络登录(type 3)、newcredentials登录(type 9)、远程登录(type 10)等。

九维团队-青队(处置)| 网络安全数据分析


Authentication认证过程,日志类型4776和4768、4769等,主要描述登录账户的认证流程。通常,DC域控上的认证记录提供了一种“追踪所有域账户认证”的方法,使得安全分析人员不必逐台机器采集、分析。


在域环境中,认证通常采用NTLM、Kerberos等两种方式。微软推出kerberos来替代NTLM,但是存在部分情况下,NTLM依然通用:

九维团队-青队(处置)| 网络安全数据分析


NTLM和Kerberos作为微软两种重要的认证协议,NTLM没有属于自己的协议族和协议规范,只能寄生在其他网络协议中进行交互、但Kerberos是有的。

九维团队-青队(处置)| 网络安全数据分析


02

常见业务的认证与登录


九维团队-青队(处置)| 网络安全数据分析


具体实验测试方式举例如下:


Psexec

使用域外机器通过psexec工具,使用域账号访问域内机器。在DC域控上出现4776等认证日志:

九维团队-青队(处置)| 网络安全数据分析


在被访问的win机器上出现4624 logon,类型3:

九维团队-青队(处置)| 网络安全数据分析


PTH攻击-msf

在kali环境下,支持几种PTH攻击,包括msf的exploit/windows/smb/psexec模块和kiwi_cmd(mimikatz) /run模块。


其中,使用msf的exploit/windows/smb/psexec模块进行pth攻击:

九维团队-青队(处置)| 网络安全数据分析


在被访问的win机器上看到4624日志,类型3:

九维团队-青队(处置)| 网络安全数据分析


4624分析原则

若想找到真实发起认证/登录请求/攻击行为的src机器,需要获取“被登陆机器”的4624日志、或者DC域控日志的4776等认证日志。


若想统计哪些域账号被使用、哪些域成员机器被访问/被攻击,需要获取DC域控的4624日志(类型3)。


在DC域控中仍可看到logon登录4624,类型3,登陆进程kerberos,此类日志中记录的网络信息源IP是被登录的目标win机器,这是一个被登陆win机器到域控请求(做认证)的过程。



七、安恒信息解决方案



01

安恒态势感知


九维团队-青队(处置)| 网络安全数据分析


AiLPHA安全分析与管理平台以基础安全资源为底层基础支撑,安全中台为中层能力输出,上层业务应用灵活满足智能安全运营需求,架构图如上图所示。


02

安恒日志审计


九维团队-青队(处置)| 网络安全数据分析


明御®综合日志审计分析平台(简称DAS-Logger)作为信息系统的综合性管理平台,通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全。


明御®综合日志审计平台通过基于国际标准化的关联分析引擎,为客户提供全维度、跨设备、细粒度的关联分析,透过事件的表象真实地还原事件背后的信息,为客户提供真正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平台,将所有的日志信息收集到平台中,实现信息资产的统一管理、监控资产的运行状况,协助用户全面审计信息系统整体安全状况。


03

安恒数据分析服务


针对日志数据、流量数据、终端信息、样本信息等开展综合关联分析,形成高级数据和威胁分析,形成定制化数据分析报告和攻击链复盘报告。

九维团队-青队(处置)| 网络安全数据分析





—  往期回顾  —


九维团队-青队(处置)| 网络安全数据分析

九维团队-青队(处置)| 网络安全数据分析

九维团队-青队(处置)| 网络安全数据分析

九维团队-青队(处置)| 网络安全数据分析

九维团队-青队(处置)| 网络安全数据分析



关于安恒信息安全服务团队
安恒信息安全服务团队由九维安全能力专家构成,其职责分别为:红队持续突破、橙队擅于赋能、黄队致力建设、绿队跟踪改进、青队快速处置、蓝队实时防御,紫队不断优化、暗队专注情报和研究、白队运营管理,以体系化的安全人才及技术为客户赋能。

九维团队-青队(处置)| 网络安全数据分析

九维团队-青队(处置)| 网络安全数据分析

九维团队-青队(处置)| 网络安全数据分析

原文始发于微信公众号(安恒信息安全服务):九维团队-青队(处置)| 网络安全数据分析

版权声明:admin 发表于 2022年11月17日 下午4:28。
转载请注明:九维团队-青队(处置)| 网络安全数据分析 | CTF导航

相关文章

暂无评论

暂无评论...