本帖最后由 Hill_李胜阳 于 2022-9-15 17:26 编辑
首先先简单介绍下SIP平台是干嘛的,如以下信息:
深信服安全感知平台(SIP)定位为客户的安全大脑,是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁。
在日常运维工作中有SIP平台的同事们不要放过任何一次举足轻重的事件威胁,俗话说的好‘千里之堤毁于蚁穴’,小事件久而久之便有可能会形成大威胁。话不多说直接上稿~
首先拓扑环境找了一个相似的,产品部署位置是一样的,客户SIP版本为3.0.66,STA设备版本3.0.38,各类引擎都是最新。主要是看帖子内容哈
1、事件背景及告警详情
某单位于2022-09-07 上午9点-下午3点,SIP持续性生成安全事件-【感染普通病毒】,需及时溯源定位处理 2、告警分析 收到反馈后第一时间查看该事件域名是否具有恶意行为。可通过威胁分析类网站帮助进行验证分析: 如深信服威胁检测中心https://ti.sangfor.com.cn/ 也可通过多方求证验证风险域名。 微步在线平台 VT威胁分析平台 多方验证后发现该域名确实存在恶意行为且该域名访问动作已被我司AF设备拦截的情况下,客户希望找出该域名触发页面并及时进行封锁。 那么接下来就是溯源排查的过程了↓(各位赶紧眨眨眼,远程截图多少点模糊)。 1、登录受害者主机进行域名定位动作,利用深信服开发的SfabAntiBot(僵尸网络查杀工具)定位到相关进程。(程序放在帖子最下方)^_^。 2、根据相关进程先定位触发性较大的原因——Edge浏览器进程触发
3、定位到具体进程后登录到页面进行和事件相接近的时间段进行验证触发,发现是当前页面触发,如下图 SIP平台检索新流量触发日志如下: 4、可能有些社友比较疑惑这个页面的域名不是Vibaike吗,也不是事件发生的www.hiprofitnetworks[.]com的域名呢?是的确实不是,经和安服侧同事确认该页面内容存在外链行为,具体细节可通过F12开发者调用看代码有没有植入恶意的URL。[9.15号发帖后补充:发现该网页内确实有内嵌事件恶意域名]。
5、 最后通过SIP日志检索,发现关于事件域名www.hiprofitnetworks[.]com共触发日志51条。通过SIP平台分析并接收AF告警-【试图解析僵尸网络C&C服务器www.hiprofitnetworks[.]com的地址,域名解析地址已被重定向为蜜罐地址】,判定解析均被AF拦截。
3、分析结论 经研判经为内网终端访问存在外链的网页导致,已定位到事件触发外链域名信息为vibaike.com。因访问触发了网页内嵌具有恶意的外链行为,并通过向DNS服务器解析,实际动作均被AF设备拒绝和重定向。该域名可进行拉黑处理。
4、处置建议 深信服防火墙提供识别及拦截功能,会阻断恶意域名之间的通讯,保障正常页面访问请求的进行。 1、准备一款日常使用的杀毒软件,如EDR、赛门铁克、火绒等等; 2、进行不要再非官方渠道下载非正报的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件查杀后使用; 3、不随便打开来历不明的邮件及附件内容; 4、不随便下载来历不明的文件,不随意浏览恶意网站; 5、主机定期进行病毒查杀,并定期修改密码(密码8位数以上,包含数字字母符号); ......
5、参考资料 https://blog.csdn.net/HoewDec/article/details/123346059? 浅谈僵尸网络。 https://blog.csdn.net/dexunjiaqiang/article/details/124735790? 僵尸网络有什么危害?
⑥、发帖感受 能够根据自己所了解的知识和工具对安全事件进行一个大致的溯源结果个人还是蛮开心的。虽然过程很多依靠百度百科来获取,但最后也收获了客户的认可。技服出身的自己做安服的内容已经是一种新的挑战。正所谓,无挑战不人生。那么,你今天挑战自己了吗! | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-9-14 20:32
发表于 2022-9-14 22:43
技术研究员2级 
