如何辨别身边的“僵尸”
近日,华北某重要客户接到信息安全主管部门的通告,称其网络中存在大量僵尸主机并对外发起了有组织的慢速扫描和DDoS-HTTPs(针对Web的拒绝服务)攻击。恰逢敏感时间节点,所以此安全事件造成了一定程度的负面影响。
跟大多数政企用户相似,该用户网络大量采用了NAT(地址转换)机制,并由于慢速、随机波动的攻击节奏,现有网络安全设备均未报告此次事件。
在接到客户需求之后,东软NTAD全流量安全检测系统迅速进场部署,监控了该客户Internet出口的所有流量,通过全流量检测机制实现全维度的安全分析,通过全报文存储与回溯提供无可辩驳的原始包取证。
在这次安全服务中,NTAD系统主要依靠内置的DGA检测模块由固定域名解析出动态IP
为了避免这种情况,僵王博士又想出新的招数:给自己申请了固定域名,但对应的IP地址是经常变的。各僵尸主机首先解析这个域名,获得动态变化的IP,然后再发起C&C通信。这种方式,可以逃避相当一部分安全设备的检测拦截。但随着安全技术的发展,僵王博士的固定域名也很快被拉入了黑名单,包括其对应的IP地址;
03由动态域名解析出动态IP
僵王博士一想,干脆咱们连域名也变起来,大家约定一个规律,实时测算当前僵尸博士可能使用的域名,这个规律就是DGA。受控主机通过解析这个动态变化的域名获得动态变化的IP,从而使C&C通信变得更加飘忽不定、难以拦截。
NTAD系统对DGA的专门设计
东软NetEye网络审计与全流量分析检测系统(NTAD)是基于原始报文解析技术的流量安全可视化分析设备,完整覆盖了流量流向、异常分析、协议识别、性能监控、攻击检测、威胁情报、回溯取证等诸多环节,面向全流量、全协议、全维度提供检测服务。产品支持镜像、分光、TAP等采样机制,可通过旁路方式部署在网络边界、核心交换、服务器汇聚、终端接入等各种拓扑位置,能够为全网流量担当统一的分析回溯平台,一站式满足多种安全合规要求。
NTAD全流量分析系统DGA检测模块,正是瞄准了僵尸博士的这个动态域名机制,通过对DGA域名算法预先测算和实时检查,及时侦测僵王与僵尸网络、病毒的C&C通信行为,并在大规模攻击爆发之前发现受控主机的存在。
僵尸网络的行为指标
在DGA分析页面中,有几个指标需要我们格外留意:
- DGA家族:这个指标,指的是发现了多少个僵尸家族,一个僵尸家族有可能存在多个僵王博士来管理肉鸡;
- 趋势:表示NTAD侦测到有多少次针对僵王博士域名的DNS解析行为。这种行为,通常是大规模爆发前的预兆;
- 受害主机:指的是哪些主机发出了针对僵王博士的DNS解析报文,他们一般都是沦陷了的无辜群众;
- 攻击主机:指的是受害主机在DNS解析报文中想得到哪些僵王博士的IP。
关联分析发现僵王的家族关系
在DGA关联分析板块中,NTAD全流量分析系统将按照域名、家族两个维度,清晰展现各受控主机、僵王博士跟他们的隶属关系,每个DGA图群都可以被拖动,而且各个节点都会随着拖动而扭曲摇曳、自动摆正对齐,像僵尸,像草履虫,也有点儿像水母。
利用NTAD系统的DGA检测模块,能够准确预知当前各大僵王博士启用的域名和通信行为,进而发现僵王以及各受控肉鸡的存在。
东软NTAD全流量安全检测系统,是专业级的网络安全基础支撑设备。
