基于ELK的勒索病毒WannaCry的自动发现原理

        基于鲲鹏芯片的TaiShan服务器部署流量采集器和ELK大数据分析平台实现全流量的网络协议分析捕捉TCP层的流量异常，再通过大数据分析精确判断出勒索病毒的根源，最后用人工智能技术自动检测勒索病毒。

        一、平台搭建

        在基于鲲鹏芯片的TaiShan服务器搭建主要以iTAP(流量采集器)，iMAP（ELK大数据分析平台）为核心的全流量大数据分析平台。网络流量数据通过iTAP以40Gbps/s高速接收处理分析网络报文后直接汇聚到Kafka。数据汇聚总线以Kafka为核心，通过消费者导入到ElasticSearch集群的iMAP大数据分析存储平台,最后通过Kibana进行Web端的可视化展现。通过对流量的实时采集，利用基于机器学习技术的告警引擎，对海量网络数据进行关联分析和实时告警。

                        图 1 iTAP-iMAP部署示意图

        二、事件综述

        2017年5月WannaCry勒索病毒肆虐全球，利用“永恒之蓝”传播，使得众多的学校、企业、政府机构的内网沦陷[1]。专家估计在全球造成损失总值约 80 亿美元[2]。

        近日，在某客户的内网环境中，利用南京云利来开发的智能大数据分析平台iMAP(intelligent Metadata Analytic Platform)发现了一个潜伏的WannaCry勒索病毒。 幸亏及时地发现，排除了大规模爆发的危险。

        三、问题分析

        1、发现异常

        在对客户的业务指标例行检查时,发现TCP重传率异常的高，长时间维持在60%以上的高位。通常来讲，TCP重传率如果这么高，网络已经无法正常使用。

图 2、TCP重传率维持在60%以上

        在iMAP平台上可以做时间的横向比较，与前一段时间的TCP连接个数对比：发现TCP连接数上涨了5倍。

图 3、两段时间的TCP连接数对比

        iMAP收集的元数据是由iTAP（intelligent TAP）提供的。iTAP的网络协议元数据分析是针对每一条流的，可以捕捉TCP的任何异常状态（图3右侧列出的多种TCP状态）。 分析发现其中270多万次TCP连接是以第一次握手超时结束。

图 4、大量TCP连接以第一次握手超时结束

        由此判断，造成TCP连接重传率过高的原因并不是网络故障，而是大量的以第一次握手超时结束的异常TCP连接。此时猜测，是内部存在的机器在进行类似DOS的攻击。

        2、深入调查

        此时利用iMAP平台自带的分析工具，深入调查发现，在270多万异常链接中， IP地址为172.31.0.20的一台内网机器发起249万多条TCP连接，其平均重传率高达66.62%。具体分析步骤如下：

        a)对sip（源IP地址）进行分类聚合；

        b)计算每个IP的平均重传率以及TCP连接个数；

        c)根据TCP连接个数进行排序。

图 5、聚合结果

        针对IP为172.31.0.20的内网主机，再深入分析，发现其240万次以上的TCP连接是以第一次握手超时结束。该主机的各种数据与发现的异常基本抿合，此时可以确认该主机正是引起此次异常的源头。具体操作如下：

        a)使用过滤条件，筛选出172.31.0.20主机的TCP记录；

        b)根据TCP结束状态进行分类聚合;

        c)计算每种结束状态的连接数。

图 6、172.31.0.20的TCP连接结束状态聚合结果

        再进行下钻分析：针对172.31.0.20，聚合域为dport（目标端口号），可以发现：240万次以上的TCP连接的目标端口号为445。

图 7、172.31.0.20的TCP连接目标端口聚合结果

        445端口是一个很敏感的端口，主要被Windows用于局域网文件共享、打印机共享，同时亦常被恶意软件用作局域网病毒传播。当产生大量目标端口445的TCP连接，很有可能该主机是被利用来使用“永恒之蓝”攻击程序对随机目标进行攻击。

        3、验证猜测

        最大规模利用“永恒之蓝”进行传播的病毒正是WannaCry，而“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”是该病毒的开关域名。当该域名能访问时，则不开始勒索行为[1]。

        查找历史记录，发现172.31.0.20该主机确实成功通过http访问过WannaCry的开关域名（状态码status为200）。

图 8、172.31.0.20成功访问WannaCry开关域名

        至此，已经可以完全确定该主机是感染了WannaCry病毒。但由于开关域名能被成功访问，所以病毒并没有执行文件加密、勒索等操作，但一直进行病毒传播行为。[1]

        随后，在客户网络运维团队协助下，登入该主机，发现了产生大量445端口的TCP连接的进程为名叫mssecsvc2.0的服务项，用于网络传播。同时发现C:\\Windows目录下有mssecsvc.exe与tasksche.exe两个可执行文件，分别为WannaCry的主程序与勒索程序。[3]

        四、总结

        根据以上分析， 我们可以生成一条WannaCry规则刻画勒索病毒的行为，从而形成对此类病毒的自动检测。我们提供了基于SQL文法的规则开发环境，方便规则库的开发和维护[4]。

        iTAP+iMAP提供了一个实时地全方位的网络安全保护机制。这种基于并行处理、大数据分析和AI自学习技术的SIEM平台可以为网络安全法的实施提供技术保障，积极地为网络监控和自动运维保驾护航。 他们的积极部署将成为网络防御体系中不可缺少的重要一环。

参考文献：
【1】唐锡南，"勒索病毒“永恒之蓝”的防御策略",http://ido-net.net/id14_en.html，2017.05
【2】动点科技，"WannaCry勒索病毒或致80亿美元损失", http://www.sohu.com/a/140929261_485557，2017.05
【3】安天安全研究与应急处理中心(Antiy CERT), “安天针对勒索蠕虫“魔窟”（WannaCry）的深度分析报告”,http://www.antiy.com/response/wannacry.html,2017.05
【4】张立丹，“基于ES的SQL报警引擎”，http://ido-net.net/id17_en.html， 2017.11