【前言】根據(jù)美國(guó)網(wǎng)絡(luò)安全公司Vectra最近的一項(xiàng)調(diào)查研究表明，攻擊者在成功取得對(duì)用戶網(wǎng)絡(luò)主機(jī)的控制權(quán)后，發(fā)生數(shù)據(jù)立即竊取行為的可能性只有3%左右。在此之前，攻擊者通常會(huì)利用失陷主機(jī)進(jìn)行深入偵查用戶網(wǎng)絡(luò)、暴力破解等一些不會(huì)產(chǎn)生嚴(yán)重破壞的活動(dòng)。相對(duì)那些會(huì)造成直接破壞的活動(dòng)而言，這類活動(dòng)更不易被察覺。

從入侵分析的角度看，這意味著在造成重大損失前，用戶有更多的時(shí)間發(fā)現(xiàn)潛在的攻擊和入侵。但關(guān)鍵是，發(fā)現(xiàn)它們的難度有多大？

我們認(rèn)為，這主要取決于兩方面：一，用戶自身發(fā)現(xiàn)入侵的知識(shí)和經(jīng)驗(yàn)；二，用戶可利用的工具。那么對(duì)于用戶而言，特別重要的是后者。如果工具能降低對(duì)用戶的能力要求，并且能夠跟用戶自身的業(yè)務(wù)知識(shí)很好地結(jié)合，及早發(fā)現(xiàn)這些入侵威脅的可能性就會(huì)明顯提高。作為入侵分析領(lǐng)域的領(lǐng)軍產(chǎn)品，啟明星辰FlowEye產(chǎn)品在某運(yùn)營(yíng)商用戶網(wǎng)絡(luò)成功發(fā)現(xiàn)點(diǎn)擊欺詐（Click Fraud）的入侵案例就很好地詮釋了這一點(diǎn)。

【背景】點(diǎn)擊欺詐是指自然人或者組織為獲取商業(yè)利潤(rùn)或者其他利益，利用自動(dòng)化腳本、計(jì)算機(jī)程序和雇傭自然人的方式，模仿正當(dāng)合法的網(wǎng)絡(luò)用戶，對(duì)網(wǎng)絡(luò)廣告進(jìn)行惡意點(diǎn)擊并且達(dá)到一定規(guī)模的行為。一項(xiàng)針對(duì)僵尸網(wǎng)絡(luò)的調(diào)查表明，攻擊者在成功建立僵尸網(wǎng)絡(luò)后，絕大多數(shù)（約85%）會(huì)控制“肉雞”實(shí)施點(diǎn)擊欺詐，利用“肉雞”發(fā)動(dòng)DDoS攻擊、暴力破解等其他活動(dòng)只占15%左右。

國(guó)內(nèi)某運(yùn)營(yíng)商用戶在部署啟明星辰FlowEye產(chǎn)品2個(gè)小時(shí)之后，安全管理員的手機(jī)上接收到一條非法境外訪問行為告警，告警顯示一臺(tái)內(nèi)網(wǎng)服務(wù)器與境外機(jī)構(gòu)存在可疑的網(wǎng)絡(luò)行為。安全管理員隨后通過FlowEye提供的IP資產(chǎn)畫像能力，獲取了該IP的行為分析、流量統(tǒng)計(jì)分析、原始網(wǎng)絡(luò)報(bào)文解析等結(jié)果，簡(jiǎn)單、快速的確認(rèn)了該服務(wù)器存在點(diǎn)擊欺詐行為，同時(shí)，也進(jìn)而防止了攻擊者利用失陷主機(jī)實(shí)施后果更加嚴(yán)重的網(wǎng)絡(luò)破壞活動(dòng)。

【問題發(fā)現(xiàn)】FlowEye產(chǎn)品上線之后，用戶對(duì)某些重要服務(wù)器配置了網(wǎng)絡(luò)黑白名單，其中有一臺(tái)服務(wù)器配置的黑名單規(guī)則是：該服務(wù)器不能主動(dòng)向外網(wǎng)發(fā)起網(wǎng)絡(luò)連接（因?yàn)樵摲?wù)器只是被動(dòng)響應(yīng)其它主機(jī)的服務(wù)請(qǐng)求，不會(huì)向外網(wǎng)主機(jī)主動(dòng)發(fā)起請(qǐng)求）。名單配置之后，F(xiàn)lowEye便對(duì)網(wǎng)絡(luò)開始了實(shí)時(shí)監(jiān)控。安全域管理員收到告警短信之后，在FlowEye的監(jiān)控圖上也發(fā)現(xiàn)了命中黑名單的網(wǎng)絡(luò)行為，如下圖所示：

【分析確認(rèn)】通過FlowEye提供的該服務(wù)器的行為畫像，發(fā)現(xiàn)該服務(wù)器存在大量與美國(guó)某IP的http會(huì)話，而且很頻繁。再通過查看事件內(nèi)容，發(fā)現(xiàn)這些http會(huì)話是經(jīng)由國(guó)外某網(wǎng)站（http://lanandwan.com）到google的廣告鏈接，如下圖所示：

結(jié)合原始會(huì)話驗(yàn)證如下：

隨后通過統(tǒng)計(jì)信息發(fā)現(xiàn)，該服務(wù)器發(fā)起的大量http會(huì)話全部是類似內(nèi)容，具體參數(shù)會(huì)有所變化。用戶隨機(jī)抽取了幾個(gè)會(huì)話，發(fā)現(xiàn)訪問內(nèi)容都是針對(duì)中國(guó)用戶的廣告，如英語學(xué)習(xí)、投資理財(cái)?shù)鹊龋缦聢D所示：

綜合以上現(xiàn)象可以斷定，這些行為屬于異常行為，懷疑該服務(wù)器已被種植某種木馬，該木馬的功能是自動(dòng)訪問網(wǎng)站（http://lanandwan.com）并點(diǎn)擊廣告鏈接，屬于典型的點(diǎn)擊欺詐，需要立即對(duì)該服務(wù)器進(jìn)行安全加固。

后經(jīng)啟明星辰安全服務(wù)人員對(duì)該服務(wù)器進(jìn)行安全加固之后，網(wǎng)絡(luò)流量恢復(fù)正常，該服務(wù)器行為恢復(fù)正常。

【結(jié)束語】上述案例表明，攻擊者在成功侵入用戶網(wǎng)絡(luò)后，在對(duì)用戶網(wǎng)絡(luò)造成重大破壞之前，及時(shí)發(fā)現(xiàn)異常是可能的，如果選擇合適的工具甚至是很容易的。特別是，我們發(fā)現(xiàn)許多威脅，如木馬、后門、蠕蟲等大多數(shù)都會(huì)在某個(gè)階段產(chǎn)生外聯(lián)行為，通過FlowEye的互聯(lián)行為監(jiān)控，結(jié)合用戶的業(yè)務(wù)知識(shí)（如業(yè)務(wù)訪問規(guī)則、資產(chǎn)合法性）能夠及時(shí)有效發(fā)現(xiàn)威脅的蛛絲馬跡，并且利用FlowEye靈活的行為分析、流量統(tǒng)計(jì)分析、原始包捕獲、圖形化展示等能力，可以快速確認(rèn)問題，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)入侵，最終防止造成重大損失的安全事故發(fā)生。