首頁 > 關于我們 > 新聞動態 > 產品動態

啟明星辰NFT:快讓開!我來瞅瞅是誰在“密”道里通行

發布時間 2023-08-09
在近年來各種實戰演練中,從入侵口到最終的命令控制,幾乎全過程的流量都在向加密化方向發展。


入侵者通過使用加密通信,避免被傳統安全工具檢測和阻斷,降低入侵成本,增加安全防御的難度。


啟明星辰通過對實戰演練中常見的加密隱蔽隧道工具詳細分析,結合自身實戰演練經驗,從每種隧道工具的協議入手,從工具原理出發,總結出各類隧道通用與個性化“行為特征”,并分類形成專用檢測方法。



通過以“機器學習、統計算法、威脅情報、深度包檢測”等技術為底座,啟明星辰對隧道的“行為特征”進行全方位準確“描述”,形成了以“流行為分析、域名分析、證書分析、包特征分析、握手信息分析”的多模型綜合決策體系。相關能力已在啟明星辰全流量分析取證系統(NFT)完成落地,并在以往的實戰演練中取得優秀戰績。


ICMP隧道


ICMP協議一般用于檢測網絡的可通性,是一種面向無連接的協議,用于在IP主機、路由器之間傳遞控制消息。


由于ICMP隧道的特殊性,防火墻往往對其限制較少或不加限制,ICMP隧道正是利用此特點進行控制命令和隱蔽數據的傳輸。


通過對多款ICMP隧道工具分析,啟明星辰發現大多數隧道和正常ICMP數據傳輸具有明顯差別,如:發送和接收數據不同,包含敏感字符、其他協議標志等。


常見ICMP隧道工具特點


基于上述特點,啟明星辰構建了ICMP隧道檢測模型,針對常見的ICMP隧道,檢測率高達98%以上,誤報率低于1%。


DNS隧道


DNS是互聯網上非常重要的服務,主要用于域名與IP地址的相互轉換。防火墻、入侵檢測系統等處于可用性和用戶友好考慮下,大都不會過濾DNS流量,這為DNS成為隱蔽信道載體創造了條件。


通過對多款DNS隧道工具分析,啟明星辰發現DNS隧道在數據傳輸方面、交互行為方面都有明顯的特點,如:特定格式或編碼方式、請求域名長度較長、請求響應交互時間較長、請求頻率較頻繁等。


常見DNS隧道工具特點


基于上述特點,啟明星辰從上下行交互特征、傳輸敏感信息的域名特征等出發構建DNS隧道檢測模型,對于實戰演練中常見的DNS隧道檢測率達到95%以上,誤報率低于5%。


雖然ICMP隧道和DNS隧道可以繞過防火墻或入侵檢測產品,但由于其協議的限制,還是有足夠有效的手段能夠快速區分正常數據傳輸和隧道傳輸的。


于是,入侵者就將目光瞄準了能承載更豐富數據的HTTP協議,通過結合隱寫加密技術,將隧道流量隱藏在正常的HTTP通信字段中,從而實現隱蔽傳輸數據的目的。


HTTP(S)隧道


HTTPS隧道是HTTP隧道的加密升級版,可以利用TLS協議的特性更加充分地隱藏自己。由于HTTP(S)隧道的高度隱蔽性,單純使用一種檢測維度通常無法有效進行檢測,需要采用多種檢測手段進行綜合決策。



總的來說,HTTP(S)隧道檢測主要分為三個部分:預處理、多模型計算、綜合決策。


預處理主要使用白基線過濾、協議過濾等方法、對于網絡內的白業務流量進行基線過濾,對不符合HTTP(S)隧道的流量進行協議過濾。


在多模型計算中,綜合使用時間序列檢測模型、家族識別模型、證書檢測模型、指紋檢測模型等進行多維度計算。


1、時間序列檢測模型:主要針對HTTP(S)隧道的初始化過程、心跳過程進行檢測,對不符合HTTP(S)隧道特點的流量進行過濾和識別。



2、家族檢測模型:針對不同隧道家族的時間序列特點、包特點特征進行檢測,進而識別出其歸屬于某種隧道家族的可能性。


3、證書檢測模型:HTTPS隧道的搭建者對于證書普遍基于“易于獲得、批量獲得”的原則,針對這個特性,對易于獲得的HTTPS證書“貼標簽”,再結合域名模型、白流量基線等綜合判定其是否為可疑流量。


4、指紋檢測模型:主要針對TLS協議的握手信息進行提取,在對已有一些開源TLS指紋研究后發現:正常軟件和HTTPS隧道TLS指紋通常具有一定的重復性,同一個應用TLS指紋在不同情況下指紋也有可能不同,一些隧道工具也增加了TLS指紋修改功能。針對上述問題,啟明星辰針對已有的TLS指紋進行改造形成了更“抗變形、抗重復”的TLS指紋,能更有效、更精準地識別具體加密應用或HTTPS隧道。


加密攻擊手段隱蔽,形式多樣,危害性極大。啟明星辰NFT內置多種加密攻擊隧道分析模型,通過還原歷史流量真實場景,幫助用戶精準檢測及抓取幾十次加密隱蔽隧道攻擊行為,并通過發現的隱蔽隧道線索,進行溯源分析,捕獲多個0day漏洞,深得用戶高度認可與青睞。

上一篇 下一篇