在第1部分在这个博客中,我们检查了我称为“网络取证接触补丁”的地方——网络流量的“轮胎痕迹”可以被观察到的地方,以及可以进行观察的点。我们看到了与基础设施相关的一些基本对象(域名和IP地址)是如何在设备日志和警报中可用(或不可用)的。我们还看到,一旦我们确定了这些法医物体的来源,我们可能会减少潜在的巨大噪音量,从而得到重要的信号。在第2部分中,我们将看看如何处理我们已经确定的域名。
提醒一下,“有趣”域名的一般标准如下:
- 域名不常见(由web排名服务指定)
- 域名被网络过滤器/代理“未分类”(通常是因为没有足够的——或任何——网络内容供过滤器分析;这通常发生在全新的域名上)
- 域的流量来自特别重要的设备(通常被称为“皇冠上的宝石”)
当然,你可能还有其他的标准。上述方法有助于减少大量信息量,提高信噪比,并为分析人员提供可管理的、相当有趣的流量来进行研究。
领域指标的丰富
现在我们有了一组域名。我们怎么处理它们?这就是浓缩发挥作用的地方。大多数这样的博客的读者已经知道什么是充实,但是对于那些不熟悉这个概念的人来说:指标的充实(有时也称为“装饰”)是相关数据或元数据的附加,这有助于我们更多地了解指标。就域名而言,丰富可以告诉我们以下信息:
- 注册域名的时间
- 是哪个登记员负责登记的
- 注册域的实体(这通常,但并不总是由隐私代理掩盖)
- 什么名称服务器是权威的域名
- 域名解析为什么IP地址
- 域的风险级别是什么(例如,来自DomainTools风险评分)
- 什么显示在一个截屏的域名
- 域使用什么SSL/TLS证书(如果有的话)
- 该域名使用什么跟踪/广告代码
我们通常可以从一阶丰富(查找关于指示器的元数据,但不分析在元数据中发现的模式)中获得对该领域的某些见解。例如,知道该领域有多新,或者它是否具有很高的风险评分。
丰富可以由分析人员手动完成,也可以通过SIEM连接器应用程序、SOAR剧本、自制脚本和其他任何数量的方法来大规模完成。如果是手动操作,则通常是在事件响应或警报分类场景中。相反,自动浓缩可能是首先发现事件的手段之一。因为当域名的数量很高时,这种富集可能会增加大量的数据,所以许多soc选择使用最小的富集数据作为第一次通过。这种方法体现在DomainTools与集成合作伙伴(如Splunk、IBM QRadar等)开发的几个应用程序中,其中在仪表板级别,仅使用域的年龄和风险评分作为识别风险的乐动首页标准。其他丰富的数据点很少足以实现有效的分诊。例如,虽然域名注册器在法庭上很有趣,但基于域名注册器对域名进行一级分类却没有多大意义。
我们可以将识别供人类分析(并最终采取潜在行动)的领域的过程看作是有阶段的。第一个阶段是确定浓缩的候选对象(前面提到的“有趣”标准)。下一个阶段是确定我们可能称为分析对象的对象,自动浓缩可以提供给我们。
| 阶段1:浓缩候选人 | 第二阶段:候选分析 |
| 不常见的域名(不在热门域名的top |
最近注册高风险得分域名可疑(例如欺骗组织) |
各个阶段依次过滤流量。如果我们正在查看来自DNS解析器的日志,那么阶段1标准将大大减少正在使用的域的数量。第二阶段可以提供第二次切割,只有通过这些标准的域才会转移到分析师那里(或者转移到一些更复杂的、支持二级丰富程度的SOAR剧本中)。
深入的分析
一旦分析人员有了分析的候选对象,他们就可以使用其他一些丰富的数据点来获得更多的上下文。例如,通过知道域使用的IP地址,我们就可以咨询工具,这些工具可以告诉我们哪些其他域共享该地址。同样的原则也适用于其他数据点,如注册者、名称服务器、SSL证书等。了解与这些项目相关的其他领域群体通常可以让我们更清楚关注的领域(让我们称之为“领域1”)到底是关于什么的。这时可能会发生两件事(它们并不相互排斥):
- 我们可以对Domain 1做出“裁决”;如果它被认为是危险的,那么SOC可以选择编写警报或阻塞规则来处理任何未来的流量。
- 我们可以研究我们的分析显示与Domain 1密切相关的任何其他域。这可以帮助我们定位到那些相关领域的任何早期通信,这些通信可能预示着问题;或者,我们可以编写规则来处理未来任何到这些其他域的流量。
让我们放大一下上面的内容,因为我们的重点是网络流量分析。如果我们发现Domain 1与一个或多个额外的域紧密相连,那么任何流向这些额外域的流量都是重要的(假设Domain 1看起来或最终是一个威胁)。如上所述,这些额外的通信流可能在过去、现在或将来。回顾过去,如果我们搜索连接域的日志,任何“命中”都可能意味着在流量流到第一个引起我们注意的域1之前已经发生了妥协。类似地,即使过去没有任何相关域的流量,也可以为那些其他域(或者为它们共有的IP地址,如果这些地址上似乎没有很多可能产生假阳性风险的良性域)编写警报或阻止规则。我们希望了解未来任何试图连接任何基础设施的活动的一部分。
采取行动
当危险域被确认后,在防火墙、代理、DNS rpz、E/XDR系统等安全控制中阻止它们是有意义的。通常,这些控件的管理员并不属于进行分析的同一个团队,因此存在某种类型的切换。大多数安全控件都有摄取自定义对象(如域或IP地址)的方法来进行警报或阻塞;本指南提供了一些例子。
结论和关键要点
网络流量为了解受保护环境中的风险级别提供了一个主要的窗口,对该流量的控制是对用户和资源的最重要的保护类别之一。虽然大多数企业都有大量的网络流量,但您可以采取一些步骤来保留“法理上的黄金”,同时丢弃“脏东西”和“石头”,并从您开始的数据中获得最大的收益。
- 采用标准和建立工具,以确定浓缩的候选者
- 自动化一级富集以识别候选分析对象
- 进行二级富集和分析,以确定应该寻找的相关基础设施
- 对任何显示为恶意活动一部分的域名或ip采取行动。
与观察到的网络流量相结合的对手基础设施分析已被全球许多最先进的搜索、分析和事件响应团队证明是有效的。愿你的团队在与网上敌人的斗争中继续取得成功。
