【案例】暗流涌动从未停息,科来全流量溯源解析

  • 2022年3月7日

数字时代的对抗,是综合能力的对抗。随着对抗形态的发展和变化,网络、信息、科技、贸易,甚至舆论攻击所产生的影响与作用越来越大,相比传统攻击方式犹有过之。

 

习总书记早在近十年前便提出“没有网络安全就没有国家安全”,而今天,再次印证了这句话的前瞻性及深刻性。

 

数字化、信息化的时代背景下,时刻存在着“网络暗礁”,提升政府、企业、关键信息基础设施单位对已知、未知网络威胁的防御能力及溯源能力至关重要。

 

 



 

哪有什么岁月静好,只是有人替你负重前行。

 





临危受命 全量存取现端倪


近日,某黑客组织在成功入侵多家重要单位网站后,在其“战果平台”发布获取数据并附上暴论言辞,威胁到当事单位的数据财产安全,情节十分恶劣。科来工程师临危受命,通过全流量 回溯技术针对此事件进行分析并溯源取证。

 

被入侵的网站大多使用了某款知识管理与协同软件,初步判断黑客掌握了该平台的大量漏洞。通过科来设备检查被入侵单位10bet十博欢迎您官网流量时,工程师发现http日志在被攻击时间段内有多个境外ip在get和post访问可疑jsp文件,由此展开分析。

 

完整溯源  赋能安全

 

即便再高级的攻击,也可以通过流量来掌握其漏洞利用和攻击过程,为构建更安全的网络提供数据依据。科来网络全流量分析系统为旁路部署,即使攻击者删除了所有的攻击痕迹,也能完整保存攻击流量,对攻击事件进行完整还原,最大程度保障用户安全。科来通过真正的全流量,即全流量保存、全协议解析、全行为建模实现对流量数据的可回溯、可追溯、可拦截;同时,还能够在0day分析、未知威胁分析、扩线分析、资产梳理等方面为用户提供技术和方法支撑,赋能用户整体提升安全防护能力。

 

详细分析过程(滑动滚轴 查看完整内容)

 

一、观察日志

 

通过科来网络全流量分析系统,快速调出攻击发生时的流量数据,还原攻击发生时的全部情况,大部分为http协议,因此工程师再调出http日志进行分析,发现了cp.jsp,br.jsp文件。

 

 

在日志中可以发现2022年2月12日04:50:25攻击者换了ip访问,并且上传了暴论图片。

 

二、分析jsp文件

 

科来工程师进一步分析攻击者ip的会话,发现该ip地理位置,但其是否多次使用代理仍需进一步确认。通过还原数据流,发现该ip向网站上传post提交了cp.jsp,br.jsp等文件。

 

webshell功能非常全面,包含了创建文件夹,创建文件、复制文件、删除文件、重命名文件、上传文件等一系列功能。至此,文件分析结束。

 

三、还原攻击过程

 

通过还原可知:对方通过漏洞上传cp.jsp文件。经过一段时间后查看文件是否存在,随之利用该木马查看程序目录与os name与os user,并上传br.jsp,然后更换ip172.xx.225.xxx与webshell进行交互,并进行一系列的删除,上传文件操作。

 

 

全流量还原攻击全链路

 

经上述分析可以得出结论:攻击者使用代理的方式隐藏自己的真实ip,并通过提前上传的jsp文件连接到服务器中的 webshell。通过 webshell,修改了10bet十博欢迎您主页的配置,并且删掉网站原图,上传了恶意图片来代替原图。在完成替换后,删除了webshell 文件。运维人员因此难以通过常规手段准确判断攻击手段及时间。

 

随着5g、云技术、工业互联网的发展,网络会深度渗入到企业、民生等各方面,网络对抗离每个人并不远。科来始终视保卫国家信息安全为己任,通过真正全流量 回溯核心技术,为保卫网络安全、推进国家网络空间强国战略作出积极贡献。

 

– end –