攻防实战中的SIP使用与研判

0x01.事前产品配置

1.HTTP日志数据开启

开启HTTP审计后,才有利于后期溯源分析,否则产生安全事件后没有日志信息以供值守人员分析。
设置-->系统设置-->日志配置-->高级设置-->HTTP日志设置。
推荐方向:服务器全勾选,并开启数据包记录。
image

2.邮件及短信告警

通过配置邮件和短信告警可以有效的减少值守人员的工作强度,当发生对应勾选事件的安全问题时。sip会直接给对应的邮箱地址发送告警信息,值守人员可通过该功能及时查看关注的安全事件新动态。
image
image

3.默安蜜罐配置

配置默安蜜罐:
接入方式:webservice。
类型:默安幻阵(蜜罐)。
登陆密码:由默安提供一个secret_key。
image
image

4.沙箱配置

对接我们自己的沙箱。
系统设置-->对接SIP平台。
输入平台IP即可。
image
对接东巽沙箱。
东巽方面的配置由对方配置。
SIP方面配置在SIEM分析模块中。
image

0x02.事中攻击感知

重保中心(对抗值守)

实时攻击分析中的安全事件,直接发现攻击行为(主要值守工作)。
image
即时发现:通过设置关注事件发现需要着重关注的安全事件。
配置关注事件后,平台会进行实时监控,一旦发现相关安全事件,会以红点高亮突出展示,提醒处置,并且在列表中以关注事件的标签形式提示。
image
image
着重关注:通过设置筛选条件着重关注高危的攻击日志
关注对象:服务器
事件类型:网络攻击事件
攻击结果:成功
image
针对监控:可通过实时攻击分析页面的搜索框直接搜索IP,事件类型来针对性的监控某主机、某攻击IP,某类安全事件的详细情况。也可直接点击事件统计处的事件类型过滤。
image
攻击研判:点击事件描述会弹出对应的事件详情,其中包含详细的举证信息和漏洞危害信息,可帮助值守人员快速研判。
联动封锁:可通过联动封锁按钮,联动AF,EDR联动封锁对应攻击IP。也可勾选要封锁IP对应的事件,然后批量的复制IP。
image
点击事件描述进行初步研判。内容包含两部分:威胁详情描述事件详情信息,威胁行为描述举证内容。
image

初步研判事件

(1)漏洞利用攻击事件
看数据包内容,已将重要研判的代码标红高亮显示,并且可以点击查看日志,跳转到日志检索,查看全部的日志。
image
(2)扫描攻击事件
看扫描趋势,是否在某个时间段扫描数量增多;看扫描行为,扫描到IP或开放的端口,初步研判为扫描成功。
(3)web爆破攻击
通过看爆破是否成功、爆破的次数进行初步研判。
image
(4)邮件威胁分析
邮件安全事件,尤其注意钓鱼邮件和病毒邮件事件,这两类是当前流行的鱼叉邮件的检测事件。事件详情具体关注发件人、主题、病毒名、md5等,一般的鱼叉邮件主题往往是英文的,且多包含payment、order、purchase、invoice等字眼,附件名也类似,进一步可以下载文件,跑vt、微步等在线文件沙箱看具体行为。
点击查看邮件可以跳转到日志中心看到更详细的日志:
image
(5)文件威胁分析
文件威胁分析排查思路:
(a)处置中心-->安全事件视角-->详情模式-->搜索恶意文件
排查思路也是看url、cc服务器地址、文件大小、文件名病毒名等,最后可以现在文件到本地,取md5跑沙箱等具体确认。
image
(b)分析中心-->威胁分析-->文件威胁分析查看
这里的事件确定性要比处置中心低,可能存在误报,但数据量更全,具体可以点击跳转到日志中心查看。同时文件安全事件的白名单可以在这里设置,可以按照md5和域名过滤(注意文件安全事件的白名单与全局白名单是不一样的,全局的主要针对流量,文件白名单仅针对是否能产生安全事件)。
image
(6)恶意脚本威胁分析
SIP支持恶意脚本检测(大部分杀毒软件无法查杀脚本),这是sip区别其他产品的一个点,可以在处置中心搜索脚本事件:
image
详细里描述了这个脚本是从哪里下载来的,md5是多少,以及这个脚本存在什么样的风险。一般来说恶意脚本的md5在威胁情报是没有收录的,因为脚本变化很快,那么这时候可以将脚本下载到本地,用notepad++等打开即可看到脚本具体代码。根据sip以往运营经验,powershell脚本一般是恶意的居多,功能多为Downloader,而linux bash脚本可能存在误报,这种误报文件主要是客户运维的shell脚本,这种情况sip暂不当误报处理,因为举证描述的是这个脚本存在可能恶意的行为,而事实也如此。

0x03.通过日志检索发现残余攻击

通过日志检索发现其他的攻击行为
image
日志检索语法:单击搜索框可弹出检索字段提示。检索方法为:字段名+':'+字段值。多个检索字段间用AND,OR等逻辑运算符。
image
举例:

  • 检索日志中同时包含IP为1.1.1.1和1.1.1.2的日志,搜索:1.1.1.1 AND 1.1.1.2
  • 检索IP为1.1.1.1,源端口为80的日志,搜索:1.1.1.1 AND src_port:80
  • 检索IP为1.1.1.1,源端口或目的端口为80的日志,搜索:1.1.1.1 AND (src_port:80 OR dst_post:80)
  • 检索在IP段1.1.1.1-1.1.1.200内的,目的端口为80,搜索:1.1.1.1-1.1.1.200 AND (src_port:80 OR dst_post:80)
  • 检索url中含有lu/index的日志,搜索:url:*lu\/index*

0x04.通过网络流量挖掘未知威胁

事件举例:
1、通过网络流量发现有异常端口的tcp连接记录,在客户值守时审计网络流量,发现服务器在2019-06-26 14:32:09,尝试访问IP地址为119.28.56.65的28503和3334,3333端口
image
此IP,在微步上显示为恶意IP(钓鱼)。
image
2、通过HTTP审计日志发现异常的HTTP访问(日志类型:HTTP日志)
image
发现疑似利用shiro反序列化攻击数据包
image
解码后确认为攻击流量,并且已经攻击成功,写入了webshell并执行了命令执行等操作。
事件回溯:
1、通过网络流量发现有连向异常端口的流量(反弹shell操作)
2、通过审计对应资产的HTTP日志发现疑似被写入文件
3、通过审计对应资产的HTTP日志发现shiro反序列化漏洞利用成功
4、通过审计对应资产的HTTP日志发现webshell后门
image

0x05.事后溯源分析

溯源分析是以受害者主机和攻击者两个视角帮助用户看清主机失陷过程、找到攻击入口点、分析攻击者行为以完成溯源分析。平台具备溯源快速搜索功能,通过搜索引擎输入攻击者IP和受害者IP即可查看资产自动化溯源结果和攻击者画像信息。通过在溯源分析页面,可直接进行攻击者画像,提取可能的攻击链。
image

默安蜜罐数据分析

配置好默安蜜罐后,可直接将蜜罐内的容器IP输入到重保中心-->溯源分析,查看所有的蜜罐攻击行为。
image

攻击链溯源

将失陷IP(200.200.0.33)设置为目的IP,查询所有攻击这个IP的事件,定位出外部入侵行为。
image
假设已经发现了权限控制的安全事件(失陷IP:200.200.0.37)
image
将失陷IP(200.200.0.37)设置为源IP,查询所有攻击这个IP的事件,定位出横向漫游行为。若没有安全检测日志,可查询HTTP审计日志和网络流量日志。
image

0x06.重点关注事件

image

posted @ 2026-04-06 10:28  77板烧鸡腿堡  阅读(5)  评论(0)    收藏  举报