【虹科技术分享】ntopng是如何进行攻击者和受害者检测
在最新的ntopng版本中,为了帮助理解网络和安全问题,警报已经大大丰富了元数据。在这篇文章中,我们重点讨论用于丰富流量警报和标记主机的"攻击者 "和 "受害者 "元数据。具体来说,当一个流量的客户端或服务器很可能是一个或多个安全问题的始作俑者时,它就被标记为 "攻击者"。同样地,当客户端或服务器被认为受到攻击时,它被标记为 "受害者"。对于非安全导向的用例(如严重的丢包),受影响/引起该问题的主机仍然以高分值突出显示,但它们不会被标记为攻击者/受害者,因为这些词只用于安全领域。
例如:
在对可疑的DGA域名的DNS请求中,客户端被认为是 "攻击者",因为它是这种潜在的恶意请求的发起者。
当检测到远程代码执行(RCE)、跨站脚本(XSS)和SQL注入尝试时,客户端是 "攻击者",而服务器是 "受害者",因为它正被试图利用其漏洞的客户端探测/攻击。
当通过HTTP下载一个二进制/.exe应用程序,假装它是一个无害的文件,如PNG图像,客户端被认为受到了危害,而服务器被认为是恶意的,因为它的来源是可疑的文件,所以两者都被标为 "攻击者"。
一个DNS数据渗透警报的客户端和服务器都被标记为 "攻击者",因为进行数据渗透需要客户端和服务器都在运行渗透软件,如iodine。
本文实例
在这篇文章的提醒中,我们分析了Hancitor感染(由Malware-Traffic-Analysis提供的pcap),以证明ntopng及其新的 "攻击者 "和 "受害者 "元数据在检测此类安全问题方面的有效性。
Hancitor感染基本上是一个多阶段的事件链,导致目标主机下载恶意软件文件,实际上将其变成了威胁者手中的恶意主机。
让我们看看当我们使用ntpng分析带有Hancitor感染的pcap时会发生什么。你可以以下列方式启动ntopng:
ntopng -i 2021-06-01-Hancitor-with-Cobalt-Stike-and-netping-tool.pcap -m "10.0.0.0/8"
警报分析
首先,从标题栏可以很清楚地看到有一些可疑的事情发生,因为有成千上万的流量有错误和警告。请注意,被警告的流量的数量可以根据你的配置而变化(见左边的侧栏菜单 "设置"->"用户脚本")。
点击红色的 "错误 "标记将我们带到流量页面,按照有错误的流量进行过滤。通过打开 "状态 "下拉菜单,很明显有一些可疑的活动,如几个可疑的DGA域名请求和2000多个可疑的文件传输。
但是,这个页面不足以了解是否有攻击正在进行,以及谁是麻烦的来源。当访问流警报页面时,这一点变得更加明显。在浏览警报之前,我们可以设置一个过滤器,只看到有 "攻击者 "的安全相关警报。
有了这个过滤器,ntopng只显示它检测到的攻击者的警报。事实上,可疑的DGA域警报开始跳出。“骷髅头”符号有助于识别 "攻击者",在这种情况下,就是被Hancitor感染的Windows客户端主机。
如果我们继续用攻击者浏览警报,我们也会看到成千上万的可疑文件传输警报。对于这种警报,会显示两个骷髅头。事实上,不仅将被攻击的Windows主机标记为 "攻击者",而且也会将分发恶意文件的服务器标记为 "攻击者 "。
如何验证?
但为什么看似无害的文件ga.js的文件传输被认为是可疑的?因为在实践中,这些都不是Javascript文件! 有时,它们只是空文件,有些时候它们是内容不明的二进制文件。只需使用Wireshark提取这些ga.js文件就可以验证这一点,并证明了ntopng在检测网络中发生的这些可疑传输方面的有效性。仅仅通过浏览这些警报就可以发现其他可疑的文件。这些是下载Ficker Stealer和Cobal Strike的请求。
你可以在 "主机地图 "中识别攻击者/受害者(左边栏菜单 "地图"->"主机")。
【虹科技术分享】ntopng是如何进行攻击者和受害者检测相关推荐
- 【虹科技术分享】电网中的时间同步
一.电网的演变 早在数据网络和以太网系统普及之前,电网就已经运行了很长时间.它是世界上最大的基础设施之一,也是最强大的基础设施之一.因此,有人可能会问,为什么我们不按照过去的方式来分配电力. 答案隐藏 ...
- 虹科案例分享丨世界领先的矿业公司(英美资源集团)与虹科-Atheer合作
虹科案例分享丨世界领先的矿业公司(英美资源集团)与虹科-Atheer合作 摘要 世界领先的矿业公司之一.总部位于伦敦的英美资源集团(Anglo American)与虹科-Atheer合作,推动了劳 ...
- 虹科喜报 | 虹科技术工程师【国内首批】拿下Redis认证开发者证书!
要说虹科数据库技术工程师有多强悍,认证考试2022年12月上线,次年2月就以全国首批速度强势通过考试,并于两周后正式收到[Redis认证开发人员]证书! 虹科小云忍不住浅浅炫耀一下: 或许大家对Red ...
- 虹科技术 | 快速准确测量0.05m-500m--虹科dimetix激光测距传感器的优势
引言 传统上,激光测距传感器测量飞行时差或相移.但是这些方法各有优缺点:飞行时差测量速度很快,但由于时间测量要求很高,通常不够准确.相移的测量明显更准确,但由于评估更复杂,不如飞行时差测量快.Dime ...
- 【虹科技术】OPC UA技术,实现设备控制与互连未来
1. OPC UA因何而来? 讲到OPC UA 不得不提及他的前辈OPC,OPC(Object Linking and Embedding(OLE) for Process Control)是微软公司 ...
- 虹科技术|半导体制造工艺中使用的UV-LED技术
半导体行业借助紫外光谱范围(i 线:365 nm.h线:405 nm和g线:436 nm)中的高功率辐射在各种光刻.曝光和显影工艺中创建复杂的微观结构,例如生产集成电路(IC).液晶显示器 (LCD) ...
- 【虹科技术】-如何分析VoIP网络问题?
认识VoIP 如今,大多数公司的电话系统都基于 IP 语音,简称 VoIP.虽然 VoIP 比"传统"电话基础设施有很多优势,但 VoIP 也给负责维护良好网络的网络管理员和工程师 ...
- 虹科技术 | 终端入侵防御 | 在重大攻击中发现新的Babuk勒索软件
11月期间,Morphisec在调查一个客户的防范事件时发现了Babuk勒索软件的一个全新变种.Babuk在2021年初首次被发现,当时它开始针对企业进行双重勒索攻击,以窃取和加密数据.这一年晚些时候 ...
- 【虹科】使用 ntopng 和 SNMP 监视网络设备
总结 SNMP 广泛用于网络监控. 能够远程监控网络设备是清晰了解当前和过去网络运行状况的基础. ntopng系统地与SNMP设备进行交互,以提供网络上的历史和实时见解. 使用ntopng探索物理网络 ...
最新文章
- Perhaps you are running on a JRE rather than a JDK?
- jdk安装后提示错误
- xmodmap: unable to open display '' Error: Couldn't connect to XServer passing null display
- 【bzoj4009】[HNOI2015]接水果 DFS序+树上倍增+整体二分+树状数组
- 起点linux和深度linux哪个好,我想深入学习linux计算机,但不知道选择哪个版本好?...
- JavaScript使用hash表方式实现数组去重。
- 配置classpath,引入jar包
- Vista忘记密码如何登录?
- 谷歌浏览器打开链接,如何不是覆盖当前页面而自动跳转到新标签页?
- 如何在Spyder中使用远程服务器的python来调试代码
- 赛事招募 | 互联网创客马拉松开show啦~比武招APP
- 电脑族每天宜喝四杯茶
- python-gui-pyqt5的使用方法-4--自定义信号的初识--多参数的使用
- A[1080]Graduate Admission 两个cmp比较函数两个struct结构体
- 软件测试个人求职简历该怎么写,模板在这里
- MS17-010漏洞复现(带win7虚拟机安装,零基础)
- C#嵌入谷歌浏览器内核
- 记一篇IT培训日记050-嗯嗯,差距不大
- 广州计算机中心杜云飞,我校学子在ISC19世界大学生超级计算机竞赛中获佳绩
- 做硬件,想当然,犯大错