基于ELK的勒索病毒WannaCry的自动发现原理
基于ELK的勒索病毒WannaCry的自动发现原理
基于鲲鹏芯片的TaiShan服务器部署流量采集器和ELK大数据分析平台实现全流量的网络协议分析捕捉TCP层的流量异常,再通过大数据分析精确判断出勒索病毒的根源,最后用人工智能技术自动检测勒索病毒。
一、平台搭建
在基于鲲鹏芯片的TaiShan服务器搭建主要以iTAP(流量采集器),iMAP(ELK大数据分析平台)为核心的全流量大数据分析平台。网络流量数据通过iTAP以40Gbps/s高速接收处理分析网络报文后直接汇聚到Kafka。数据汇聚总线以Kafka为核心,通过消费者导入到ElasticSearch集群的iMAP大数据分析存储平台,最后通过Kibana进行Web端的可视化展现。通过对流量的实时采集,利用基于机器学习技术的告警引擎,对海量网络数据进行关联分析和实时告警。
图 1 iTAP-iMAP部署示意图
二、事件综述
2017年5月WannaCry勒索病毒肆虐全球,利用“永恒之蓝”传播,使得众多的学校、企业、政府机构的内网沦陷[1]。专家估计在全球造成损失总值约 80 亿美元[2]。
近日,在某客户的内网环境中,利用南京云利来开发的智能大数据分析平台iMAP(intelligent Metadata Analytic Platform)发现了一个潜伏的WannaCry勒索病毒。 幸亏及时地发现,排除了大规模爆发的危险。
三、问题分析
1、发现异常
在对客户的业务指标例行检查时,发现TCP重传率异常的高,长时间维持在60%以上的高位。通常来讲,TCP重传率如果这么高,网络已经无法正常使用。
图 2、TCP重传率维持在60%以上
在iMAP平台上可以做时间的横向比较,与前一段时间的TCP连接个数对比:发现TCP连接数上涨了5倍。
图 3、两段时间的TCP连接数对比
iMAP收集的元数据是由iTAP(intelligent TAP)提供的。iTAP的网络协议元数据分析是针对每一条流的,可以捕捉TCP的任何异常状态(图3右侧列出的多种TCP状态)。 分析发现其中270多万次TCP连接是以第一次握手超时结束。
图 4、大量TCP连接以第一次握手超时结束
由此判断,造成TCP连接重传率过高的原因并不是网络故障,而是大量的以第一次握手超时结束的异常TCP连接。此时猜测,是内部存在的机器在进行类似DOS的攻击。
2、深入调查
此时利用iMAP平台自带的分析工具,深入调查发现,在270多万异常链接中, IP地址为172.31.0.20的一台内网机器发起249万多条TCP连接,其平均重传率高达66.62%。具体分析步骤如下:
a)对sip(源IP地址)进行分类聚合;
b)计算每个IP的平均重传率以及TCP连接个数;
c)根据TCP连接个数进行排序。
图 5、聚合结果
针对IP为172.31.0.20的内网主机,再深入分析,发现其240万次以上的TCP连接是以第一次握手超时结束。该主机的各种数据与发现的异常基本抿合,此时可以确认该主机正是引起此次异常的源头。具体操作如下:
a)使用过滤条件,筛选出172.31.0.20主机的TCP记录;
b)根据TCP结束状态进行分类聚合;
c)计算每种结束状态的连接数。
图 6、172.31.0.20的TCP连接结束状态聚合结果
再进行下钻分析:针对172.31.0.20,聚合域为dport(目标端口号),可以发现:240万次以上的TCP连接的目标端口号为445。
图 7、172.31.0.20的TCP连接目标端口聚合结果
445端口是一个很敏感的端口,主要被Windows用于局域网文件共享、打印机共享,同时亦常被恶意软件用作局域网病毒传播。当产生大量目标端口445的TCP连接,很有可能该主机是被利用来使用“永恒之蓝”攻击程序对随机目标进行攻击。
3、验证猜测
最大规模利用“永恒之蓝”进行传播的病毒正是WannaCry,而“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”是该病毒的开关域名。当该域名能访问时,则不开始勒索行为[1]。
查找历史记录,发现172.31.0.20该主机确实成功通过http访问过WannaCry的开关域名(状态码status为200)。
图 8、172.31.0.20成功访问WannaCry开关域名
至此,已经可以完全确定该主机是感染了WannaCry病毒。但由于开关域名能被成功访问,所以病毒并没有执行文件加密、勒索等操作,但一直进行病毒传播行为。[1]
随后,在客户网络运维团队协助下,登入该主机,发现了产生大量445端口的TCP连接的进程为名叫mssecsvc2.0的服务项,用于网络传播。同时发现C:\\Windows目录下有mssecsvc.exe与tasksche.exe两个可执行文件,分别为WannaCry的主程序与勒索程序。[3]
四、总结
根据以上分析, 我们可以生成一条WannaCry规则刻画勒索病毒的行为,从而形成对此类病毒的自动检测。我们提供了基于SQL文法的规则开发环境,方便规则库的开发和维护[4]。
iTAP+iMAP提供了一个实时地全方位的网络安全保护机制。这种基于并行处理、大数据分析和AI自学习技术的SIEM平台可以为网络安全法的实施提供技术保障,积极地为网络监控和自动运维保驾护航。 他们的积极部署将成为网络防御体系中不可缺少的重要一环。
参考文献:
【1】唐锡南,"勒索病毒“永恒之蓝”的防御策略",http://ido-net.net/id14_en.html,2017.05
【2】动点科技,"WannaCry勒索病毒或致80亿美元损失", http://www.sohu.com/a/140929261_485557,2017.05
【3】安天安全研究与应急处理中心(Antiy CERT), “安天针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告”,http://www.antiy.com/response/wannacry.html,2017.05
【4】张立丹,“基于ES的SQL报警引擎”,http://ido-net.net/id17_en.html, 2017.11
- 点赞
- 收藏
- 关注作者
评论(0)