目录

01-流量告警分析中常见的问题

1.安全告警DDOS

2.误 问题始终无法很好的闭环

3.威胁信息验证受阻

4.宽泛的只是涉略面

02-分析前准备工作及注意事项

03安全威胁事件分析

·WEB特征检测-SQL注入、XSS、后门访问

·WEB特征检测-SQL注入

 ·WEB特征检测-XSS攻击

 ·WEB特征检测-绝对路径后门访问

  ·WEB特征检测-WEB后门访问

   ·安全事件分析-挖矿

·安全事件分析-暴力破解

 安全事件分析-弱口令

安全事件分析-恶意文件攻击

安全事件分析-远程控制

远程控制&DGA 域名请求

 安全事件分析-钓鱼邮件+发件人欺骗

总结：

 04-快速分析评估阶段性安全数据

 相关案例

---

01-流量告警分析中常见的问题

1.安全告警DDOS

实时安全威胁日志在单位时间内大批量触发，导致安全管理人员高强度工作，在分析某安全事件过程中新的告警事件出现导致处置不及时给 络带来安全隐患。

2.误 问题始终无法很好的闭环

客户 络中存在着较多因软件服务开发原因导致安全告警误 问题。且以最严格策略配置白名单后仍可以增加真正的攻击行为被忽略的风险

3.威胁信息验证受阻

安全流量分析过程中受 络策略、用户权限控制等原因导致安全人员对实际情况验证较为困难

4.宽泛的只是涉略面

安全流量分析本身涉及的知识面较广且技术更新速度较快，不同服务器、安全产品外送日志格式均不同，从一定程度上增加了安全分析技术人员工作难度

02-分析前准备工作及注意事项

1.对客户单位现阶段的 络现状有初步的认识（流量大小、内 业务系统数量等）。

2.落实安全设备部署位置，是否对内外 流量实现全覆盖。

3.检验安全设备硬件性能、规则策略等参数信息。

4.确认安全设备运行期间功能策略的调整（过滤某些非常用端口、白名单策略）工作。

5. 借助业界主流业务流量分析软件进行数据分析。（Ethereal、Wrieshark）

6. 借助安全情 站、情 区，多途径验证威胁信息的真实性。（ti.dbappsecurity.com.cn、x.threatbook.cn）

7.分析过程中发现的问题灵活应对，主动帮助优化策略。（针对客户单位高频出现的内 站开发不完善导致的安全告警误 信息，在取得客户同意的前提下进行白名单添加，白名单的添加原则尽量做到精细。

03安全威胁事件分析

·WEB特征检测-SQL注入、XSS、后门访问

攻击者意图初步分析：通过非法手段探测web页面返回信息寻找薄弱点进行漏洞利用。

威胁分析标签：敏感字段请求、数据流的方向、判断是否为误

威胁分析思路：

1. SQL注入特征语句: select * from  *** 、and/or *** 、xx=xx 、union ***、waitfor ***。

2. XXS特征语句：script 、javascript、alert、IMG src=JaVaScRiPt:AlErT(“1”)。

3. Web后门访问语句：/etc/passwd、/var/log/xx.log、**.config、**.mdb、**.exe。

4. 优先查询请求响应成功的攻击；

5. 以源地址或目的地址作为筛选条件，利用“统计模型”思路进行分析，若近期一个/多个地址持续向某服务器发起数量较为均衡的攻击，多为误 信息，若短时间内某地址发起大量攻击行为，多为异常安全事件,恶意攻击发生概率较高。

6.查看攻击的详细页面，可借助AiLPHA or APT可以直观展示已标红相应的特征串，通过返回内容字段进行分析研判。

7.内到外的攻击也应着重分析处理，可能是内 主机成为了肉机，在对外发起攻击。

·WEB特征检测-SQL注入

SQL注入攻击涉及面较广，需要我们了解sql语句大体的含义后识别攻击者的攻击意图。如下所示攻击者尝试筛选系统管理员表的敏感信息。

误 情况：全天触发高频率安全告警且攻击数据流方向为内到内的无敏感sql攻击字段的日志多为误  

 ·WEB特征检测-XSS攻击

‘><script>alert(helloword)</script>

<IMG src=JaVaScRiPt:alert(‘XSS’)>

%22%3cscript%3ealert(%22xss%22)%3c/script%3e

误 信息，请求字段包含一些中文内容或请求语句包含“script” 语句的 文例如InstallScript ，这种情况应该结合客户的业务情况来分析

 ·WEB特征检测-绝对路径后门访问

cat /etc/passwd

root **/bin/bash

 

误 信息：某些 站因开发不完善使用了部分敏感字符作为后台 站路径。（shell.jsp）

  ·WEB特征检测-WEB后门访问

攻击者意图初步分析：通过非法手段探测服务器后门信息或上传木马程序截获相关敏感信息。

威胁分析标签：攻击方向以及判断是不是误

1.优先针对内部重要web服务器IP进行查询；

2.重点查询扫描探测类攻击，短时间外 IP频繁发起“服务后门”访问行为，可能属于黑客通过工具发起WEBSHELL扫描，尝试是否存在webshell后门；如果出现攻击成功的，可以在浏览器地址输入栏输入风险告警中的URL，判断是否存在账户、密码、其他可疑的输入口，从而判断是不是误 ；确认不是误 ，立即进行应急处置；

3.发现内 主机对内或对外发起攻击，首先看攻击频率，如果攻击频率较高，且不是内 渗透者所为，很有可能是内 主机成为了肉机，在对其他主机发起了攻击。

 

   ·安全事件分析-挖矿

攻击者意图初步分析：利用服务器后门植入非法挖矿程序进行挖矿，从而获取虚拟币牟利。

威胁分析标签：数据方向多为内到外

1.挖矿的 警，是根据传输的内容特征进行检测的，有2类，一类是登录到矿池（method“:”login“）、一类是从矿池接收任务（”method“:”job“）。#method 请求方法
2. 利用威胁情 站（ti.dbappsecurity.com.cn、x.threatbook.cn）对挖矿回连地址进行查询。

3.查看详细信息，可以看到有个json结构，里面会有特殊的字段，除非正常通讯的内容和挖矿格式、内容类似，否则误 的机率较低。

 

 

 

 

·安全事件分析-暴力破解

攻击者意图初步分析：利用服务认证缺陷，使用登录口令字典库进行高频率尝试从而获取服务权限。

威胁分析标签：区分好外部攻击内部和内部攻击外部

1. 暴力破解攻击因业务系统开发原因存在着较多的误 信息，其中误 类型多为 异常 连接。

2. HTTP暴力破解登录失败的 警也需要重点进行关注。（有些登录后返回code为200 ，返回内容中提示登录失败则APT会认为登录失败、其他登录未成功操作为尝试登录，FTP暴力破解成功返回码为230需重点关注）

3. 关注攻击源是内部还是外部，如果是外部攻击内部，建议在服务器端查看系统日志，有没有异常登陆成功情况，提醒用户注意密码强度，及时更换密码，如果是内部攻击内部或外部，需要考虑是不是有员工故意破坏，或者主机失陷的情况；

4.针对暴力破解成功的告警首要工作验证用户破解的账户的真实性，若验证成功且确认为非授权访问则进行下阶段告警处置操作。

 

 

 安全事件分析-弱口令

弱口令多为内部工作员工安全意识不足导致的安全隐患。

威胁分析标签：误

1. 登录口令安全威胁事件分类：弱口令、密码明文传输、密码 base64 传输。 2. 弱口令：对请求字段中登录信息进行分析验证， 根据实际环境判断是否合乎弱口令标准，（客户单位标准为 8 位数以上，数字、字母、大小写组合，平台监测弱密码为“ MOIzNDU26 ”则判断不是误 ）。 3. 密码 Base64 传输需判断平台是否将 base64 编码识别为登录口令、进行编码转换后进行实际测试验证后判断，若登录失败一般确认为误 信息。

安全事件分析-恶意文件攻击

攻击者意图初步分析：诱导内部用户通过邮箱附件、web界面附件进行下载执行或客户通过非官方 站下载非正版软件导致安全隐患的发生。

安全分析标签：判断是不是误 、恶意文件ID

1.找到该恶意文件基本信息里的文件MD5/SHA1值/SHA256值等：

2.访问ti.dbappsecurity.com.cn（安恒威胁情 中心）、x.threatbook.cn（微步在线），将恶意文件的MD5值进行搜索确认：

   如果 站提示有风险，基本判断不是误 。如下图：

3.由于非PE（PE是windows的标准）文件MD5值较容易变化，对MD5值进行查询判断就显得不精确了，遇到这种情况，下载样本，不要打开，直接放在杀毒软件里里进行查杀。

4. 因为APT预警平台是自带沙箱功能对恶意文件样本进行威胁监测的，如果情 中心及杀毒软件都无相关威胁 警，请把沙箱 告和文件样本发给产品组，进行分析判断。（www.virscan.org已集成我们的沙箱功能）

5.评分低于80以下需要重点关注。

 

安全事件分析-远程控制

威胁分析标签：判断是不是误

远程控制&DGA 域名请求

 

 安全事件分析-钓鱼邮件+发件人欺骗

监测实现原理：发件人欺骗检测引擎仅对配置的防护邮箱做针对性检测 ，目的是查看有没有人冒用本地域邮箱发送邮件

1.该告警说明攻击者试图通过伪造数据包或伪造邮件服务器等方式来伪造指定的发件人，从而获取内 员工的信任，欺骗内 员工打开指定的URL或恶意附件，达到控制内 终端的目的。

2.处理建议：

a.建议立即通过告警信息定位邮件收件人，及时通知收件人切勿点击邮件内的URL和邮件附件等信息，并立即对该邮件进行删除，以免受到恶意病毒、木马感染；

b.建议用户开启邮件服务器的可信认证。

攻击者意图初步分析：通过伪造恶意邮件内容，诱导用户打开恶意链接或文件，进行用户侧信息获取、服务提权。

威胁分析标签：判断真实URL是不是恶意的

1.将真实链接放在ti.dbappsecurity.com.cn或x.threatbook.cn来进行判断，如果确实是恶意链接则可以通知用户处置，也可以在虚拟机里打开链接进行验证。

2.处置：建议通过告警信息定位邮件收件人和客户端IP地址，及时通知收件人切勿点击邮件内的URL链接，并立即对该邮件进行删除，以免打开攻击者伪造的钓鱼页面，从而造成财产损失。

总结：

1. 误 信息的排除有助于我们提高分析效率的关键，是拒绝“ DDOS 安全告警”的重要关键，消除误 信息配置也尤为重要，总结如下： ·     白名单配置要尽量做到 精确 ，进行最小化配置； ·     有平台的现场环境建议白名单操作在平台中添加，保障探针上 的数据的完整性，有助于我们在安全日志中进行各模型的创建二次匹配生成威胁信息。 ·     区分 流量清洗 与 白名单 的使用场景。 2. http 请求字段、响应码的分析。

       对解析成功的请求头、请求主体进行重点的分析，借助响应码信息验证是否利用成功。

3. 定义适合自己的字段排列组合有助于提高我们的分析效率。

4. 基于数据流方向进行分析。 ·     外到内、内到内 重点分析 ·     内到外（恶意域名回连、挖矿） ·     外到外 （需要根据地址信息判断安全域配置是否完善）

 04-快速分析评估阶段性安全数据