613
【廉環話】安全入侵應對實務—內網偵查篇
【51CTO.com原創稿件】朋友們,您是否已經成功逃離了上個月勒索軟件的餘震,Not WannaCry anymore?您是否又回歸到了平靜有序的日常工作,就像美劇《西部世界》裏的那些機器人演員一樣,天天都重複著一個輪回呢?至少我現在就是這樣的,每天忙於各種反複的事務性工作,就連剛剛過去的六一兒童節,都隻能在朋友圈裏去追憶。
還記得小時候,我最愛看的就是那部《黑貓警長》的動畫片,直到現在工作得意的時候還會時常吟唱其主題歌—“眼睛瞪得像銅鈴,射出閃電般的精明;耳朵豎得像天線,聽的一切可疑的聲音;……”我本來理想是長大了能當一名抓壞人的警長,結果如今發現隻實現了一小半,當上了管理係統的信息安全人員。
好了,不再慨歎現實的“骨感”了。讓我們繼續來討論安全入侵應對實務的第三部分—內網偵查。希望小夥伴們在往下閱讀的時候能夠重拾起小時候的勵誌故事《小馬過河》所傳達出的精神:一邊聽我給大家分享,一邊自己動手來實踐和嚐試吧。
第一階段:基礎與準備
1. 在網絡架構上,要準備好備用的,與外界互聯網的接入鏈路。
2. 準備一張包含內網中所允許的協議和IP地址的列表,並且按照它們優先級的高低,從前往後進行排列,包括關鍵的業務,以及它們之間的各種相關性。
3. 有分支機構的企業,應當進一步文檔化IT架構中的各個細節,包括內網VLAN的劃分依據和所對應的地區/部門、內網地址的使用情況、對外接入的鏈路ID號、相互之間的路由表等。如果能更細致的話,可以準備相對應的拓撲圖和網絡資產的屬性清單。
4. 預見性地標識出當前存在的業務瓶頸和可能出現的故障單點,轉呈或協同運維部門予以重點監控。
5. 確保現有的各種網絡監控工具的可用性,及時更新它們,並定期查看其運行過程中所產生的各類警告信息。
6. 對既有的各種網絡設備進行必要的安全加固,特別是係統固件方麵的升級。
7. 參照如下步驟(下麵是以cisco設備為例),記錄下係統裏各個網絡設備在當前正常狀態下的服務基線(或稱快照,這一點很重要,希望大家能有所重視),以便在出現問題的時候,能及時準確地進行異常的識別,並發現被改動之處。
- 用戶訪問路線列表,可運行show line命令。
- 用戶賬戶、權限信息列表,可運行show privilege命令。
- 開放端口列表,可以在與網絡設備連接的Linux終端上運用nmap命令,並通過帶有S和U的參數來檢查設備上所開啟的TCP和UDP端口。
- 路由表快照表,可運行show ip route命令。
- 訪問控製列表,可運行show ip access-list命令。
- 路由器自身資源利用率,如CPU狀態的快照,可運行show process cpu命令。
- 設備上全部配置狀態的快照,可運行show config命令。
最後記得把所有這些基線信息都備份到一次性可寫光盤或是加密隻讀的U盤裏。
8. 根據所處網絡的實際情況,合理設置DNS域名的TTL值(生存時間),一般的經驗是設置為600為宜。這樣以便在出現入侵時能調整和進行縮短,從而實現DNS的重定向。
9. 協同網絡部門在內網中定期查找,並酌情關閉那些過時的且不再需要的網絡接入點(如ADSL、WIFI、Modem等)。
10.應急響應團隊提前準備好工具包,裏麵的各種工具最好都是綠色免安裝類型的,而且要安全地存放在上述提到的一次性可寫光盤或加密隻讀U盤裏。當然各類工具也要保持定期的版本更新和有效性檢測,以及查缺補漏。其實這一點對於我上兩期講到的操作係統和移動終端的入侵應對來說也是同樣適用的。
11.考慮到網絡設備區別於用戶的主機的同質性,對於關鍵的網絡路由或交換設備要有備機/備件的規劃,並簽署必要的替補協議。
12.最後在文案方麵,要注意各種入侵應對的響應流程的時效性、易獲取性和可操作性。
第二階段:識別與應對
說到企業內部網絡,可以套用莎翁的那句諺語:“一千個人眼裏有一千個哈姆雷特”。不,是一千個企業網絡架構。不過,如果我們抽象並總結起來的話,企業網絡的基本“骨架”應該是如下圖所示的基礎拓撲結構。
在上圖模型中,接入級別的防火牆一般連接著企業的內/外部網絡,提供DMZ裏的Web、郵件等服務器與外部的通信,以及在把有線網絡擴展到無線WiFi時所起到的Hub作用。可見此類防火牆是企業網絡的咽喉要道,是我們進行常規網絡識別和入侵應對的重中之重。因此,我們在邏輯上應該對上圖的A、B、C三個端口處進行“精耕細作”,從而分別實現對來自於無線網絡、內網主機以及DMZ區三處的各類數據包的收集與分析。下麵我們來具體看看有哪些道與術。
1. 查找網絡中存在的特殊協議數據的異常分布。例如在正常的內網環境中,ICMP協議類型的數據包應該僅占到整體協議數據流量的2%左右。可見,倘若超過這個閥值範圍,就能判定為網絡處於異常狀態了。另外,又比如說:在純Web應用的環境內,如果出現了大量的FTP協議類型的數據包,那也是一種不正常的網絡狀態。
2. 在所保護的和已受到了入侵的網絡中,可使用抓包工具(如tshark、windump、tcpdump等)和端口鏡像等手段來搜集數據;對數據的源IP地址、端口、TTL、包的ID、協議進行分析,從而解析出攻擊源所要入侵的目標主機/服務、所使用到的漏洞和賬戶等有用的信息,進而總結出攻擊的特征和慣用做法。
3. 在出現網絡狀態異常時,可以暫時禁用掉某個/些應用的某個/些服務,從而排除幹擾項,縮小偵測範圍。
4. 臨時掐斷那些明顯不必要的連接,或是暫時將受到攻擊的網絡部分與初步判定的攻擊源相隔離。
5. 如有必要,可以調整某些應用服務器的設置,暫時拒絕來自被利用的主機所發來的連接請求。
6. 切換到備用的站點,或將關鍵的對外業務重定向到備用的網絡通路之上,從而實現“雖降速但還能提供服務”。
7. 使用基於DNS協議的槽洞(sinkhole)來提供不可路由的地址給受利用的主機,以阻止內部數據的泄漏,並實現流量的清洗。
8. 在網絡設備上配置疏散過濾規則(filter),從第一、二層上阻斷那些DDoS的流量,以抑製新的“垃圾”數據包持續湧入到內網中。
9. 通過設置黑洞路由,充分利用路由器的包轉發能力,吸收泛洪的“垃圾”數據流量,使其對係統負載影響降到最小,以應對DoS和僵屍網絡的攻擊。
10.及時為防火牆/IDS/IPS等網絡設備重新添加能夠有效阻斷網絡入侵的規則。
第三階段:取證與調查
這個環節基本上與前兩期的該章節所介紹的應對步驟相類似,其中在進行取證的方麵,要注意如下三點:
1. 如果沒那麼急迫的話(當然一般都是時間非常緊迫的),可以將被入侵的主機或設備暫時設置進入休眠模式,注意:不要輕易關機,否則容易將內存裏的那些有價值的、攻擊源所留下的數據給丟失掉。
2. 查找那些事先準備好的“假”文件(可帶有相應的水印)被竊取的路徑和方式。
3. 截取並保留網絡和主機設備上的各種日誌,特別具有源IP地址、時間戳、訪問端口以及服務類型等信息的條目。
在收集到相關證據之後,我們便可以順藤摸瓜地開展調查工作了。在企業網絡中,一般用到的追蹤溯源技術分為兩類:一類是包標記,即通過設置,將路由器自身的信息標記到發出的數據包上,直至到達被攻擊的主機。標記的過程相對簡單,對網絡的影響也比較小,但是在重構攻擊路徑時,則需要收集大量的數據包進行分析,因此無法進行單個包的追蹤。另一類是數據包的日誌追蹤,它需要用大量的存儲空間來存放網絡數據流的日誌,這無形中增加了部署的成本,但是它卻可以對單個包進行追蹤。一般在實現方式上是利用IDS的日誌功能,記錄指定事件的登錄驗證、網絡地址的請求信息的認證、資源的自動分配信息等記錄。
那麼,一般所執行的追蹤溯源的流程是:
1. 對入侵性的數據流進行定位和跟蹤,以確定哪些網絡設備和主機參與了發送或轉發此類數據。
2. 分析可疑的網絡設備或主機的輸入/輸出信息,篩選係統內的日誌信息,判斷入侵時間點的先後次序,以重構入侵路徑。說白了,就是按照源IP地址和目的IP地址的銜接關係進行設備之間的簡單關聯,從而形成一張攻擊線路圖。
從技術的角度來說,我們針對網絡中各個節點所用到的追蹤手段有:
- 日誌分析:收集和分析係統及網絡設備上事先設定好的各種日誌記錄。
- 消息追蹤:使用路由輸入的調試追蹤,即在分析確定了攻擊數據包是來自哪個路由器的情況下,依次判定該路由器及其上遊設備的攻擊輸入接口和所用到的路由表。
- 主機狀態追蹤:對網絡中被入侵的主機進行持續的網絡狀態監控,如運用“ps”和“netstat”之類的命令。
- 反向流(reverse flow)追蹤:比如使用基於Hash的IP反向追蹤SPIE(Hash-Based IP traceback)、ICMP反向追蹤iTrace(ICMP traceback)以及鏈路測試(link testing)等技術進行一跳一跳的回溯追蹤,但是這些方法在實際應用中經常會產生各種false positive和false negative。
- 人工輔助追蹤:通過在虛擬機上部署多個蜜罐類型的惡意軟件收集器(比如使用honeyd工具),組成“蜜網”來有效地檢測僵屍網絡的入侵。然後對捕獲到的數據流通過逆向分析,可以獲知諸如控製者的域名、服務端口、登錄用戶名以及更新程序下載點等“活躍(active)”的僵屍網絡特征樣本。當然此法的弊端是需要人工持續地去更新特征庫,因此對於新出現的僵屍類型的攻擊則無法進行追蹤。
小結
想必大家也都明白:網絡入侵相對於主機入侵來說,由於網絡的傳播速度和倍數效應,往往波及麵會更大更快。因此一旦出現了網絡攻擊,我們既不可以抱以“大王叫我去巡山”那樣的消極態度,也不能急得像沒頭蒼蠅一樣手忙腳亂。我們應當像主題歌裏的黑貓警長那樣“磨快了尖齒利爪到處巡行”。隻要我們拿出當年小時候在綠皮火車上,一節車廂、一節車廂地往前走,尋找空座位的那種“鍥而不舍”的精神,網絡入侵的態勢就會被我們所迅速掌控,攻擊源也將無處遁形。
本文作者:陳峻
來源:51CTO
最後更新:2017-11-03 17:33:43