【案例】暗流涌动从未停息，科来全流量溯源解析

小柒 · 发表于 2022-3-8 14:41:19

数字时代的对抗，是综合能力的对抗。随着对抗形态的发展和变化，网络、信息、科技、贸易，甚至舆论攻击所产生的影响与作用越来越大，相比传统攻击方式犹有过之。

习总书记早在近十年前便提出“没有网络安全就没有国家安全”，而今天，再次印证了这句话的前瞻性及深刻性。

数字化、信息化的时代背景下，时刻存在着“网络暗礁”，提升政府、企业、关键信息基础设施单位对已知、未知网络威胁的防御能力及溯源能力至关重要。

“哪有什么岁月静好，只是有人替你负重前行。”

临危受命全量存取现端倪

近日，某黑客组织在成功入侵多家重要单位网站后，在其“战果平台”发布获取数据并附上暴论言辞，威胁到当事单位的数据财产安全，情节十分恶劣。科来工程师临危受命，通过全流量+回溯技术针对此事件进行分析并溯源取证。

被入侵的网站大多使用了某款知识管理与协同软件，初步判断黑客掌握了该平台的大量漏洞。通过科来设备检查被入侵单位官网流量时，工程师发现HTTP日志在被攻击时间段内有多个境外IP在GET和POST访问可疑JSP文件，由此展开分析。

完整溯源赋能安全

即便再高级的攻击，也可以通过流量来掌握其漏洞利用和攻击过程，为构建更安全的网络提供数据依据。科来网络全流量分析系统为旁路部署，即使攻击者删除了所有的攻击痕迹，也能完整保存攻击流量，对攻击事件进行完整还原，最大程度保障用户安全。科来通过真正的全流量，即全流量保存、全协议解析、全行为建模实现对流量数据的可回溯、可追溯、可拦截；同时，还能够在0day分析、未知威胁分析、扩线分析、资产梳理等方面为用户提供技术和方法支撑，赋能用户整体提升安全防护能力。

详细分析过程

一、观察日志

通过科来网络全流量分析系统，快速调出攻击发生时的流量数据，还原攻击发生时的全部情况，大部分为HTTP协议，因此工程师再调出HTTP日志进行分析，发现了cp.jsp，br.jsp文件。

在日志中可以发现2022年2月12日04:50:25攻击者换了IP访问，并且上传了暴论图片。

二、分析JSP文件

科来工程师进一步分析攻击者IP的会话，发现该IP地理位置，但其是否多次使用代理仍需进一步确认。通过还原数据流，发现该IP向网站上传POST提交了cp.jsp，br.jsp等文件。

Webshell功能非常全面，包含了创建文件夹，创建文件、复制文件、删除文件、重命名文件、上传文件等一系列功能。至此，文件分析结束。

三、还原攻击过程

通过还原可知：对方通过漏洞上传cp.jsp文件。经过一段时间后查看文件是否存在，随之利用该木马查看程序目录与os name与os user，并上传br.jsp，然后更换IP172.XX.225.XXX与webshell进行交互，并进行一系列的删除，上传文件操作。

全流量还原攻击全链路

经上述分析可以得出结论：攻击者使用代理的方式隐藏自己的真实IP，并通过提前上传的jsp文件连接到服务器中的 WebShell。通过 WebShell，修改了主页的配置，并且删掉网站原图，上传了恶意图片来代替原图。在完成替换后，删除了WebShell 文件。运维人员因此难以通过常规手段准确判断攻击手段及时间。

随着5G、云技术、工业互联网的发展，网络会深度渗入到企业、民生等各方面，网络对抗离每个人并不远。科来始终视保卫国家信息安全为己任，通过真正全流量+回溯核心技术，为保卫网络安全、推进国家网络空间强国战略作出积极贡献。

如有意向转载，欢迎留言联系管理员

- End -

【案例】暗流涌动从未停息，科来全流量溯源解析

本帖子中包含更多资源

浏览过的版块