接下来我们说说天眼,其实天眼的目标很简单——我知道一个人的一部分信息,如何根据一部分信息去拼凑出一个完整的信息,比如他去过什么地方,干过什么事情,目的是什么,用了什么东西,也就是广义上的了解你的敌人。对于安全工作者来说,转化到现实当中的问题就是甲方安全团队在找到攻击者之后如何让攻击者不再攻击你?单单从防御的角度上来说,我们可以上规则、上设备,但是这样并不能从根本上解决问题。继续说回电影,其实《赤道》中香港、韩国两方面只希望把武器送走,确保不在香港交易同时回到韩国,这样就解决了这个问题。但是宋总不是这么想,宋总站在了更高的角度上,他不希望把香港变成真正的地下武器贩卖中心,也就是要把地下武器交易这个链条彻底打碎。从解决问题的角度上来看这两者都没错。
回到正题,对于攻击者来说,攻击者一旦发起攻击就会在目标系统中产生数据,不管有用也好无用也罢,总之数据都会产生,诸如流量数据、操作日志、爆破记录、工具指纹、网络地址等信息。
Phase 1:从日志分析的角度上来讲,既然我们有这么多的设备,有这么多的日志,我们要做的就是把这些想关的攻击向量和行为日志收集起来,统一到一起,看看有什么线索。
Phase 2:既然我们已经收集到了很多的日志和数据,那么我们可以从日志中把这些信息拼凑成一个完整的攻击行为记录:即它是通过什么漏洞进来的,如何进来的,进来之后做了什么,对系统有什么影响。完完全全使之成为一个攻击的模型,这样的话也就完成了对入侵的推演。
Phase 3:我们既然知道了他是如何进来了的,从甲方安全运营的角度来讲,我们需要确认其他机器当中是否有相同的漏洞和配置错误,要避免其它的人利用相同的方法入侵系统,毕竟不能在一个坑栽倒两次。
Phase 4:我们现在有了攻击者的一些信息,我们是否可以通过外部威胁情报数据来看看这个攻击者是不是之前攻击过其他系统,攻击是不是有针对性,工具用的是进口的、国产的还是自己写的,是不是有其他的同伙或者帮手,他到底是怀揣着什么目的去攻击我们的系统。
Phase 5:如果我们确定他的身份是恶意的,并且对我们的系统造成了很严重的影响,我们是不是应该知道这个人是什么来头,他的个人信息(虚拟身份和真实身份)我们是不是要了解,我们是不是应该去用法律手段搞他,等等。
其实攻击溯源,其实是数据驱动的企业内部安全运营的一部分,需要大量数据的支撑以及分析才能找到攻击者,而企业内部我们见到最多的数据无非就是日志了,所以日志的分析和内网威胁情报的提取是非常重要的一环。
针对安全运营来说,我个人认为所有的攻击者不可避免的都会产生操作日志,针对内网内的安全设备也好,非安全设备也好,肯定或多或少的存在日志。
针对企业内部的日志,大体上可分为四类:安全设备日志、非安全设备日志、传感器日志和外部数据。
对于追踪来说一般有这么三种套路:
IP->域名->Whois信息->社交网络信息->真实信息:这个套路对于现在来说可能用处不是特别大,但是根据历史Whois信息也是可以得出一些启发性的结论的,当然这些威胁情报数据可能付费。
IP->VPN->IP->社交网络信息:这种情况一般是大多数,解决方法是通过查询IP反连记录,解析操作和一些fingerprint获得他的虚拟身份信息,当然也是要收费的
IP->botnet->IP->社交网络信息:这种广泛分布于挖矿、刷票、DDoS这种肉鸡类型的,可以想办法截获起botnet样本进行逆向分析,获取其c&c服务器地址,然后对服务器进行反连查询。没错还是要收费的。
安全设备日志:这些日志来源可以是硬件也可以是软件,首先就硬件来说注入IDS/WAF或者SIEM中的日志、硬件防火墙等等日志,软件日志包括防病毒软件、安全Agent、准入系统等软件系统的日志。这些日志一般都是攻击者进行攻击时会进行被动触发,这样的话可以检索到很多攻击信息,诸如使用的IP、端口、工具指纹等等。
非安全设备日志:诸如路由器、交换机、网关、网闸等硬件设备以及操作系统、应用软件、服务器软件日志等软件日志,这些日志中可以分析出攻击者的目的,是为了单纯渗透玩一下还是想要通过控制机器作为跳板机进行进一步的渗透工作,还是说仅仅是安全部门进行扫描产生的日志。