IOTA簡(jiǎn)介：IOTA是一款功能強(qiáng)大的網(wǎng)絡(luò)捕獲和分析解決方案，適用于邊緣和核心網(wǎng)絡(luò)。IOTA系列包括便攜式 EDGE型號(hào)、高速 CORE型號(hào)和 IOTA CM集中設(shè)備管理系統(tǒng)。IOTA解決方案可為分支機(jī)構(gòu)、中小企業(yè)和核心網(wǎng)絡(luò)（如數(shù)據(jù)中心）提供快速高效的網(wǎng)絡(luò)分析和故障排除功能。

問題描述

安全分析師和取證專家經(jīng)常需要分析哪個(gè)客戶端在什么時(shí)間與特定目標(biāo)系統(tǒng)建立了連接。傳統(tǒng)的外圍防火墻可以記錄來自廣域網(wǎng)的連接嘗試，但無法檢測(cè)到內(nèi)部網(wǎng)絡(luò)的橫向移動(dòng)。因此，存在一個(gè)需要消除的 “盲點(diǎn)”。

下面的示例逐步概述了如何在發(fā)生安全事件后利用艾體寶 IOTA分析連接設(shè)置。目標(biāo)是識(shí)別受感染的主機(jī)或?qū)阂獯a傳播到網(wǎng)絡(luò)內(nèi)部文件服務(wù)器的主機(jī)。

準(zhǔn)備工作

要想取得成功，IOTA必須在事件發(fā)生前捕獲網(wǎng)絡(luò)流量，以便事后進(jìn)行回顧分析。

第一步，準(zhǔn)備物理接口。為此，我們使用左側(cè)菜單樹導(dǎo)航到捕獲頁面，然后導(dǎo)航到接口配置部分。如下圖所示，接口被配置為具有 10/100/1000 Mbit/s自動(dòng)協(xié)商功能的 SPAN（帶外），這意味著兩個(gè)物理接口都可以接收來自 SPAN端口或 TAP的待分析流量。

圖1?物理接口的配置。在這種情況下，采用 SPAN?模式的 10/100/1000 Mbit/s?自動(dòng)協(xié)商

IOTA 的部署或集成

交換機(jī)的上行鏈路可用作 SPAN源，包括多個(gè)客戶端 VLAN。如果要將 IOTA內(nèi)聯(lián)集成到數(shù)據(jù)流中，例如在接入交換機(jī)和路由器之間或接入交換機(jī)和分配交換機(jī)之間，則必須勾選 “內(nèi)聯(lián)模式 ”旁邊的復(fù)選框，并單擊 “保存 ”按鈕。這取決于 VLAN網(wǎng)關(guān)的位置。如果要記錄進(jìn)出特定服務(wù)器的流量以便日后分析，也可以在數(shù)據(jù)中心的交換機(jī)和服務(wù)器之間進(jìn)行內(nèi)聯(lián)操作。

圖2 IOTA在數(shù)據(jù)包平均處理和后續(xù)安全事件分析中的位置

開始捕獲

放置好 IOTA并準(zhǔn)備好物理接口后，我們連接適當(dāng)?shù)碾娎|，然后導(dǎo)航到捕獲控制部分并單擊屏幕底部的開始捕獲按鈕，啟動(dòng)捕獲過程?；蛘撸覀円部梢园聪?IOTA設(shè)備上的物理 “開始捕獲 ”按鈕來啟動(dòng)捕獲過程。這將加快整個(gè)過程，未經(jīng)培訓(xùn)或沒有權(quán)限的人員也可以進(jìn)行操作。

圖3?使用 “捕獲控制 ”子菜單中的 “開始捕獲 ”按鈕啟動(dòng)捕獲

儀表盤故障排除

要識(shí)別所謂的 “零號(hào)病人（patient zero）”，我們需要兩種方法。第一種是確定哪個(gè)客戶端連接到了命令和控制服務(wù)器 (C2)或惡意軟件分發(fā)服務(wù)器（如果已知）。第二種方法是將受影響的服務(wù)器或客戶端作為基線，分析哪些其他系統(tǒng)與其建立了連接。

名詞解釋：在網(wǎng)絡(luò)安全領(lǐng)域，“Patient Zero”（零號(hào)病人）是一個(gè)重要的概念，用于描述首次感染惡意軟件或病毒的用戶或設(shè)備。其識(shí)別和防御對(duì)于控制惡意軟件的傳播至關(guān)重要。

例如，如果這是一種已知的攻擊，可以通過特定的勒索軟件信息檢測(cè)到，那么就有可能專門搜索通信模式，如特定的目標(biāo)端口。我們也以此為例。我們假設(shè)一個(gè)文件服務(wù)器受到勒索軟件攻擊，該服務(wù)器通過網(wǎng)絡(luò)上的服務(wù)器消息塊（SMB）提供服務(wù)。服務(wù)器的 IPv4地址是 192.168.178.6。

我們知道 SMB通過 TCP端口 445運(yùn)行，因此在概述儀表板上對(duì)該目標(biāo)端口和之前提到的 IP地址 192.168.178.6進(jìn)行了過濾。結(jié)果顯示，在加密時(shí)間窗口內(nèi)，只有 192.168.178.22客戶端與文件服務(wù)器建立了 SMB連接。

圖4 IP?地址 192.168.178.6?和目標(biāo)端口 445?的過濾器

我們還可通過過濾器 “IP_SRC = 192.168.178.22”在 “概覽 ”儀表板上檢查客戶端 192.168.178.22在不久前建立了哪些通信關(guān)系，以確定是否發(fā)生了命令和控制流量或下載。

在儀表盤的底部，我們可以查看 “流量列表 ”中過濾后的流量數(shù)據(jù)。從中我們可以看到，之前只有一次通信嘗試離開了內(nèi)部網(wǎng)絡(luò)。具體來說，這是一個(gè)目標(biāo)端口為 443 的 TLS TCP連接，即 HTTPS，目標(biāo) IP地址為 91.215.100.47。

圖5?基于概覽儀表盤底部過濾源主機(jī)的通信關(guān)系

根據(jù)這些流量數(shù)據(jù)，我們可以通過屏幕右上角的導(dǎo)航菜單切換到 SSL/TLS總覽面板，查看與哪個(gè)服務(wù)器名稱建立了連接。這可以在客戶端 “hello” 中看到，或者更具體地說，在 TLS擴(kuò)展服務(wù)器名稱指示（SNI）中看到。其中包含與客戶端建立連接的主機(jī)名。

圖6?通過導(dǎo)航菜單切換到 SSL/TLS?總覽面板

在 SSL/TLS總覽面板的 SSL/TLS服務(wù)器列表中，我們可以看到與客戶端建立連接的服務(wù)器名稱 “config.ioam.de”。

圖7 SSL/TLS?概述儀表板，其中我們可以看到 TLS?客戶端 hello?中的服務(wù)器名稱

由于 TLS加密意味著下載本身無法以純文本形式識(shí)別，因此必須在日志文件中對(duì)客戶端進(jìn)行進(jìn)一步分析。隨后確定用戶下載并安裝了一個(gè)應(yīng)用程序。這就通過分析的 SMB網(wǎng)絡(luò)共享執(zhí)行了文件加密過程。這樣，我們就掌握了導(dǎo)致攻擊的 IP地址、主機(jī)名和文件。不過，在某些情況下，下載惡意軟件的服務(wù)器只是攻擊者的 “前端服務(wù)器”，而這些服務(wù)器也會(huì)不時(shí)發(fā)生變化。

由于網(wǎng)絡(luò)中的橫向移動(dòng)在攻擊事件中經(jīng)常被檢測(cè)到，因此還應(yīng)檢查其他客戶端，因?yàn)槭苡绊懙目蛻舳艘部赡芤呀?jīng)分發(fā)了惡意軟件。如果在受影響的客戶端上看不到任何外部通信關(guān)系，則應(yīng)檢查所有內(nèi)部通信模式，以發(fā)現(xiàn)可能將惡意軟件帶到客戶端 192.168.178.22的異常情況。

如果我們需要檢查哪些主機(jī)試圖連接到似乎提供惡意軟件的特定服務(wù)器，我們也可以使用 IOTA進(jìn)行檢查。如果有已知的 FQDN與這些服務(wù)器相關(guān)，我們可以使用 DNS概述儀表板。

圖8?通過導(dǎo)航菜單切換到 DNS?概述儀表板

我們切換到 “DNS概述 ”控制面板，并使用 “搜索 DNS”過濾器按名稱進(jìn)行搜索。我們使用了域名 akamaitechcloudservices.com，它聽起來像是一個(gè)內(nèi)容交付網(wǎng)絡(luò)的連接嘗試，但已知是一個(gè)在安全事件中使用的惡意服務(wù)器。

圖9?通過名稱 akamaitechcloudservices.com?進(jìn)行搜索

搜索后，我們可以看到 DNS在晚上 9:20左右請(qǐng)求了該惡意服務(wù)器。要進(jìn)一步調(diào)查哪個(gè)客戶端試圖連接到該服務(wù)器，我們可以進(jìn)入 DNS概述儀表板，查看請(qǐng)求 akamaitechcloudservices.com的客戶端 IP地址。在圖 10的示例中，它是 192.168.178.22?，F(xiàn)在我們知道是哪個(gè)客戶端試圖連接該服務(wù)器了。

圖10 DNS查詢/響應(yīng)和相應(yīng)的流量流表

IOTA 的優(yōu)勢(shì)

IOTA 提供多種選項(xiàng)，用于過濾相關(guān)通信模式和時(shí)間窗口，以進(jìn)行安全分析。此外，與其他工具相比，它還提供了直觀的儀表板，即使沒有深入?yún)f(xié)議知識(shí)的人也能簡(jiǎn)化和加速分析。

了解 ITT-IOTA更多信息，歡迎前往【艾體寶】官方網(wǎng)站！

審核編輯 黃宇