近日,华北某重要客户接到信息安全主管部门的通告,称其网络中存在大量僵尸主机并对外发起了有组织的慢速扫描和DDoS-HTTPs(针对Web的拒绝服务)攻击。恰逢敏感时间节点,所以此安全事件造成了一定程度的负面影响。
跟大多数政企用户相似,该用户网络大量采用了NAT(地址转换)机制,并由于慢速、随机波动的攻击节奏,现有网络安全设备均未报告此次事件。
在接到客户需求之后,东软NTAD全流量安全检测系统迅速进场部署,监控了该客户Internet出口的所有流量,通过全流量检测机制实现全维度的安全分析,通过全报文存储与回溯提供无可辩驳的原始包取证。
在这次安全服务中,NTAD系统主要依靠内置的DGA检测模块实现了对客户僵尸网络的检测发现。
DGA,“域名生成算法“,是僵尸网络控制主机与受控主机之间的通信暗号,是僵尸网络(也包括性质相近的木马、肉鸡、病毒……)规避检测的方式,属于第三代。远程控制僵尸主机的服务器,暂称之为僵王博士。它与僵尸主机的控制通信方式(C&C)主要分为三种类型:
在第一代中,各受控僵尸主机,均缺省向固定IP的服务器发起控制通信,包括报到、接受指令等。但后来,这些IP,很快被发现并纳入到威胁情报中心,各个FW、IDS等设备均可通过黑名单对其进行拦截;
为了避免这种情况,僵王博士又想出新的招数:给自己申请了固定域名,但对应的IP地址是经常变的。各僵尸主机首先解析这个域名,获得动态变化的IP,然后再发起C&C通信。这种方式,可以逃避相当一部分安全设备的检测拦截。但随着安全技术的发展,僵王博士的固定域名也很快被拉入了黑名单,包括其对应的IP地址;
僵王博士一想,干脆咱们连域名也变起来,大家约定一个规律,实时测算当前僵尸博士可能使用的域名,这个规律就是DGA。受控主机通过解析这个动态变化的域名获得动态变化的IP,从而使C&C通信变得更加飘忽不定、难以拦截。
东软NetEye网络审计与全流量分析检测系统(NTAD)是基于原始报文解析技术的流量安全可视化分析设备,完整覆盖了流量流向、异常分析、协议识别、性能监控、攻击检测、威胁情报、回溯取证等诸多环节,面向全流量、全协议、全维度提供检测服务。产品支持镜像、分光、TAP等采样机制,可通过旁路方式部署在网络边界、核心交换、服务器汇聚、终端接入等各种拓扑位置,能够为全网流量担当统一的分析回溯平台,一站式满足多种安全合规要求。NTAD全流量分析系统DGA检测模块,正是瞄准了僵尸博士的这个动态域名机制,通过对DGA域名算法预先测算和实时检查,及时侦测僵王与僵尸网络、病毒的C&C通信行为,并在大规模攻击爆发之前发现受控主机的存在。
在DGA分析页面中,有几个指标需要我们格外留意:
-
DGA家族:这个指标,指的是发现了多少个僵尸家族,一个僵尸家族有可能存在多个僵王博士来管理肉鸡;
-
趋势:表示NTAD侦测到有多少次针对僵王博士域名的
-
DNS解析行为。这种行为,通常是大规模爆发前的预兆;
-
受害主机:指的是哪些主机发出了针对僵王博士的DNS解析报文,他们一般都是沦陷了的无辜群众;
-
攻击主机:指的是受害主机在DNS解析报文中想得到哪些僵王博士的IP。
在DGA关联分析板块中,NTAD全流量分析系统将按照域名、家族两个维度,清晰展现各受控主机、僵王博士跟他们的隶属关系,每个DGA图群都可以被拖动,而且各个节点都会随着拖动而扭曲摇曳、自动摆正对齐,像僵尸,像草履虫,也有点儿像水母。利用NTAD系统的DGA检测模块,能够准确预知当前各大僵王博士启用的域名和通信行为,进而发现僵王以及各受控肉鸡的存在。东软NTAD全流量安全检测系统,是专业级的网络安全基础支撑设备。