【2022争霸赛*干货满满】针对SIP平台安全事件(感染病毒)溯源的一次排查经历。
  

Hill_李胜阳 51404人觉得有帮助

{{ttag.title}}
本帖最后由 Hill_李胜阳 于 2022-9-15 17:26 编辑

首先先简单介绍下SIP平台是干嘛的,如以下信息:

   深信服安全感知平台(SIP)定位为客户的安全大脑,是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁。

  在日常运维工作中有SIP平台的同事们不要放过任何一次举足轻重的事件威胁,俗话说的好‘千里之堤毁于蚁穴’,小事件久而久之便有可能会形成大威胁。话不多说直接上稿~

  首先拓扑环境找了一个相似的,产品部署位置是一样的,客户SIP版本为3.0.66,STA设备版本3.0.38,各类引擎都是最新。主要是看帖子内容哈
1、事件背景及告警详情
  某单位于2022-09-07 上午9点-下午3点,SIP持续性生成安全事件-【感染普通病毒】,需及时溯源定位处理
2、告警分析
  收到反馈后第一时间查看该事件域名是否具有恶意行为。可通过威胁分析类网站帮助进行验证分析:
如深信服威胁检测中心https://ti.sangfor.com.cn/
也可通过多方求证验证风险域名。
微步在线平台
VT威胁分析平台
多方验证后发现该域名确实存在恶意行为且该域名访问动作已被我司AF设备拦截的情况下,客户希望找出该域名触发页面并及时进行封锁。
那么接下来就是溯源排查的过程了↓(各位赶紧眨眨眼,远程截图多少点模糊)。
1、登录受害者主机进行域名定位动作,利用深信服开发的SfabAntiBot(僵尸网络查杀工具)定位到相关进程。(程序放在帖子最下方)^_^。
2、根据相关进程先定位触发性较大的原因——Edge浏览器进程触发

3、定位到具体进程后登录到页面进行和事件相接近的时间段进行验证触发,发现是当前页面触发,如下图
SIP平台检索新流量触发日志如下:
4、可能有些社友比较疑惑这个页面的域名不是Vibaike吗,也不是事件发生的www.hiprofitnetworks[.]com的域名呢?是的确实不是,经和安服侧同事确认该页面内容存在外链行为,具体细节可通过F12开发者调用看代码有没有植入恶意的URL。[9.15号发帖后补充:发现该网页内确实有内嵌事件恶意域名]。

5、最后通过SIP日志检索,发现关于事件域名www.hiprofitnetworks[.]com共触发日志51条。通过SIP平台分析并接收AF告警-【试图解析僵尸网络C&C服务器www.hiprofitnetworks[.]com的地址,域名解析地址已被重定向为蜜罐地址】,判定解析均被AF拦截。

3、分析结论
  经研判经为内网终端访问存在外链的网页导致,已定位到事件触发外链域名信息为vibaike.com。因访问触发了网页内嵌具有恶意的外链行为,并通过向DNS服务器解析,实际动作均被AF设备拒绝和重定向。该域名可进行拉黑处理。

4、处置建议
  深信服防火墙提供识别及拦截功能,会阻断恶意域名之间的通讯,保障正常页面访问请求的进行。
1、准备一款日常使用的杀毒软件,如EDR、赛门铁克、火绒等等;
2、进行不要再非官方渠道下载非正报的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件查杀后使用;
3、不随便打开来历不明的邮件及附件内容;
4、不随便下载来历不明的文件,不随意浏览恶意网站;
5、主机定期进行病毒查杀,并定期修改密码(密码8位数以上,包含数字字母符号);
......

5、参考资料
https://blog.csdn.net/HoewDec/article/details/123346059?  浅谈僵尸网络。
https://blog.csdn.net/dexunjiaqiang/article/details/124735790?   僵尸网络有什么危害?

⑥、发帖感受
  能够根据自己所了解的知识和工具对安全事件进行一个大致的溯源结果个人还是蛮开心的。虽然过程很多依靠百度百科来获取,但最后也收获了客户的认可。技服出身的自己做安服的内容已经是一种新的挑战。正所谓,无挑战不人生。那么,你今天挑战自己了吗!

SfabAntiBot_X64.rar

43.83 MB, 下载次数: 31

深信服僵尸网络查杀工具

打赏鼓励作者,期待更多好文!

打赏
7人已打赏

七嘴八舌bar 发表于 2022-9-14 20:32
  
专家点评:感谢楼主分享!文章对解决僵尸网络定位主机的问题很有帮助,如增加进程定位到edge具体的原因和步骤讲解会更好,期待楼主带来更多有价值的分享!!!
飞翔的苹果 发表于 2024-8-14 08:17
  
谢谢分享,有助于工作!
平凡的小网工 发表于 2022-11-22 15:03
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
新手490344 发表于 2022-11-13 16:04
  
感谢楼主倾力分享,学习了
新手668606 发表于 2022-11-13 15:46
  
我在社区摸爬滚打这么多年,所谓阅人无数,就算没有见过猪走路,也总明白猪肉是啥味道的。一看到楼主的气势,我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别,你一定就是传说中的最强技术牛。
头像被屏蔽
小高菜奈 发表于 2022-9-28 09:02
  
提示: 作者被禁止或删除 内容自动屏蔽
Mr程 发表于 2022-9-27 09:08
  

每天学习一点,每天进步一点。
小蜻蜓 发表于 2022-9-15 10:02
  
挑战自己难道不是走向极限的第一步吗,要是在进一步就更好了
水之蓝色 发表于 2022-9-14 22:43
  

感谢楼主倾力分享,学习了
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
产品连连看
功能体验
标准化排查
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

7
20
6

发帖

粉丝

关注

本版达人

ggbang

本周建议达人

adds

本周提问达人