安全威胁感知实战案例:泰合安管平台在某政府单位内网发现“僵尸网络”监测与响应
发布时间:2017-12-01   作者:启明星辰

案列概述

 

2017年11月17日15点34分,某单位部署的泰合安全管理平台(TSOC)监测到有设备疑似感染木马,并在第一时间产生了告警,告警信息显示为“L2_ADS_肉鸡设备对外连接”。随后泰合北斗团队根据泰合安全管理平台的告警信息协助运维人员对该事件进行了分析和调查,最终确认已有10台设备感染恶意程序,且被感染主机不断尝试与恶意控制服务器进行连接。

 

该事件详细告警如下:

 


安全事件分析

 

泰合安全管理平台的核心功能是收集用户业务环境中各类设备的安全日志,在采集层对日志进行过滤、归并、范式化、补全等一系列 ETL 数据处理过程,对日志数据进行降噪,保留有效数据;然后在平台分析处理层进行自动化、智能化的关联分析,发现真实的安全威胁,并协助运维人员对安全告警进行处置。

 

1) 安全日志

 

用户在网络环部署了安全检测设备,包括入侵防护系统(IPS)、WEB 应用防火墙(WAF)和状态检测防火墙。泰合安全管理平台收集了用户网络环境中重要业务服务器、核心网络设备、全部安全设备和主要应用系统的安全相关的日志数据。

 

2) 安全日志 ETL 处理

 

泰合安全管理平台对接收到的日志进行范式化解析,对原始日志中的重要字段进行提取,对日志中缺少的关键信息进行了补全。

 

3) 事件关联分析

 

泰合北斗服务人员配合运维人员在泰合安全管理平台创建 “L2_ADS_肉鸡设备对外连接”的分析规则,关联规则分析场景的可视化编辑界面如图所示:
 


被监测设备感染病毒后,触发了告警,告警信息如下:
 


对告警进行追溯,查看原始事件信息,比较详细的记录了事件的相关属性,如下图所示:
 


对该类事件一周内的日志信息做统计,发现一周内共拦截到64927条该类日志,详细内容如下图所示:
 


内网终端不断的向目的主机221.130.179.36发送数据包,与该地址相关IOC如下图:
 

泰合威胁情报

 

 利用TSOC可视化分析工具展示出当前事件(前50条)的访问关系如下图:
 


对全部事件(64927条)进行统计,内部存在恶意程序连接行为的设备如下表:
 


通常简易的僵尸网络工作流程如下图所示,首先主机被感染恶意程序,此类程序会指引主机去连接僵尸网络控制服务器,通过控制服务器获取相应的指令从而去感染其它的主机或者对互联网上其它主机进行攻击。
 

僵尸网络工作流程

 

在本次案例中,泰合安全管理平台监测到被感染设备不断的连接恶意僵尸网络,且已经被IPS阻断。同时,对近段时间被感染设备的行为进行分析,未发现被感染设备对其它IP发起攻击的行为,也没有其它设备对被感染设备发起连接。

 

针对本次案例中的问题,北斗团队建议用户采取以下紧急措施:

 

1) 将被感染设备离线,进行网络隔离。

2) 修复系统漏洞,完成后重启。

3) 利用杀毒软件进行查杀,完成后重启设备。

4) 完成启动后再次利用杀毒软件进行查杀。

 

结束语

根据泰合北斗服务团队多年从事安全管理平台的运维经验,想要充分发挥安管平台的价值,体现平台在安全事件分析方面的效果,通常需要从项目建设与运维管理制度、安全管理组织、安全人员技术水平等几方面一同努力。其中安全技术人员需要了解最新的安全动态,及时调整安全防护策略和检测规则。

 

运维安管理平台,通常需要安全技术人员进行如下工作:

 

1、 覆盖业务范围的全量日志收集;

2、 日志的过滤与降噪;

3、 日志标准化与精细化梳理;

4、 结合业务进行关键信息补全;

5、 根据攻击场景和攻击特征建立关联分析模型;

6、 在关联分析过程中引用外部威胁情。

 

关于启明星辰泰合TSOC安全管理平台

 

启明星辰推出的泰合信息安全运营中心系统(以下简称 TSOC)是立足于公司二十多年信息安全积累的基础之上,基于客户最新需求推出的全新一代安全管理平台。

 

TSOC 以 IT 资产为基础,以业务信息系统为核心,以用户体验为指引,从监控、审计、风险、运维四个维度建立一套可度量的统一业务支撑平台,使得各种 用户能够对业务信息系统进行可用性、性能与服务水平监控,配置及事件分析、审计、预警与响应,风险及态势的度量与评估,标准化、例行化、常态化的安全 流程管控,通过面向业务的主动化、智能化安全管理,最终实现业务信息系统的 持续安全运营。

 

TSOC 采用开放平台架构设计,融合的大数据分析技术,遵循业界通行的应用接口和管理接口,功能部件都实现了模块化装配,客户可以自由选择,并能够与客户的应用和管理环境实现良好的对接与整合。

 

TSOC 具有国内最广泛的应用范围和客户群,在政府、电信、金融、电力、军工、军队、媒体、教育等行业均有成功的应用。从2008 年至今,启明星辰的泰合安管平台已经连续 9 年位居中国市场占有率第一。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备11010802024551号