1、检查是否匹配多种规则 这里需要强调的是,子标题指的是匹配上了多条不同的规则,而不是同条规则反复匹配中,前者中毒的可能性远远高于后者。
上面的截图是a主机日志,下面的截图是b主机日志,AF所报的日志数量差别不多。但是,实际上,a主机是匹配到不同的规则了(有异常流量、木马远控以及僵尸网络某条规则),而b主机只是同一条规则反复匹配中了(只有僵尸网络某条规则)。
这种情况下,我们就优先分析a的日志,优先展示a的结果给客户看。理论上,能够命中AF不同规则的,很难是误判,特别是危险级别都偏中和高。
实际上,上面的两台主机经过查杀,确实发现a是真的中了毒,而b刚好是误判。
2、本地IP是做什么用的 本地IP指的就是日志中的源IP。分析日志的时候,最好问清楚客户源IP是普通PC还是服务器,如果是服务器,又是什么用途的服务器。有时候,我们明明确定源IP确实访问了C2C服务器了,但是就是没法查杀出病毒来;或者源IP是linux系统的,而我们日志报告的是Windows才会中的病毒,这往往是内网有服务器代理的原因。
3、是否违反重尾分布 正常情况下,人的访问行为是符合重尾分布的,表现在访问时间集中在某一段时间,访问的站点集中在某一类。
例如,同个源IP产生的日志,如下,在时间上即十分可疑:仔细观察,日志产生的时间上具有强规律,不可能是人为的:不管白天黑夜,差不多每3小时(可能相差几分钟) 尝试一次。
再如,同个源IP产生的日志如下,在子域名的解析上违反重尾分布:除了父域名x99moyu.net不变,子域名在短时间内不停变化,并且十分均匀与随机,并不像正常的访问行为。
4、恶意域名常见特征
4.1 DGA特征(随机算法)
内网IP利用特定的随机算法生成域名(DGA),同时黑客会利用该随机算法注册域名,这样就可以避免因为长期与某个域名或者IP通信而被封堵。
例如,内网某个源IP短时间内大量解析了如下域名(日志截图)。
观察这些域名,可以发现,这些域名的“字符特征”看上去就是随机的。域名的发明(DNS)就是为了人类方便记忆而诞生的,所以,我们往往会去注册一些容易记忆且读起来朗朗上口的域名,显然例子中的域名就不具备这一特征。DGA这种反其道而行之的行为显然不是人访问网站发出来的,必然是病毒利用某种算法来实现的。
4.2 动态域名特征
动态域名是子域名开放给其他人使用,并且子域名绑定的IP是可以动态获取的,大多数是免费的,因此常被黑客所使用,如 abc.3322.org (3322.org就是动态域名提供者,子域名abc.3322.org可以被别人所使用)。
f3322.net、3322.org、7766.org等等这些就是动态域名提供商。
这类域名常常是病毒的温床,不管是国家互联网应急中心,还是中国反网络病毒联盟,都是重点观察对象。我们的设备是面向企业级,很少有客户会主动去使用动态域名。
4.3 近期注册特征
域名都是有创建时间(注册时间)的,Alexa全球排名百万之内的域名,都是很早之前就注册了的,从几年到十几、二十几年不等。黑客攻击要逃避防火墙的封堵,极可能在实施的时候,再去注册一个域名。注册一个字母长度大于7的域名,费用并不高,甚至可以低至 8元/年。黑客之所以倾向这么做,是因为旧域名,很可能已经被安全机构列入黑名单中(也就是说,已经被封堵了)。
试想,我们的客户,无缘无故为什么要去访问一个刚刚注册的域名呢?
例如,AF产生日志如下,观察到,日志产生时间为 2016年1月27日,访问的站点为 cazwmwez.info。
5、 注意日志数据包那一列如下图,我们日志有一列“数据包”,这一列不一定有数据,但是有数据一定要查看;有时候,这里能找到一些蛛丝马迹。
AF某条日志,数据包展开后,如上图:可以看到User-Agent域嵌入异常的动态库路径 C\:Users\ADMINI~1\AppData\Local\Temp\nskF4EA.tmp\System.dll
显然有异常。
6、危险级别为低的日志僵尸网络日志危险级别为低的日志,规则一般较弱,通常只是是一种提醒日志,并不一定说明客户就中毒了。类似以下这种,需要结合客户业务才能最终确认。
7、异常流量的日志异常流量日志形如 正在对外发送大量异常的XX数据包的,说明通过流量统计的方式确实发现有大量包被外发出去了。这种情况下,不需要去查询目的IP的信息,因为目的IP也是受害者,可能是DoS攻击的受害者。这种日志,是不需要进一步分析的,协助客户排查即可。
至于以下这种,在 XX端口上运行XX应用的,和客户确认清楚他们的业务是否使用了XX应用即可。
![]()
