基于ELK的勒索病毒WannaCry的自动发现原理

举报
wannacry 发表于 2020/06/05 11:26:01 2020/06/05
【摘要】 基于鲲鹏芯片的TaiShan服务器部署流量采集器和ELK大数据分析平台实现全流量的网络协议分析捕捉TCP层的流量异常,再通过大数据分析精确判断出勒索病毒的根源,最后用人工智能技术自动检测勒索病毒。

基于ELK的勒索病毒WannaCry的自动发现原理


        基于鲲鹏芯片的TaiShan服务器部署流量采集器和ELK大数据分析平台实现全流量的网络协议分析捕捉TCP层的流量异常,再通过大数据分析精确判断出勒索病毒的根源,最后用人工智能技术自动检测勒索病毒。


        一、平台搭建

        在基于鲲鹏芯片的TaiShan服务器搭建主要以iTAP(流量采集器),iMAP(ELK大数据分析平台)为核心的全流量大数据分析平台。网络流量数据通过iTAP以40Gbps/s高速接收处理分析网络报文后直接汇聚到Kafka。数据汇聚总线以Kafka为核心,通过消费者导入到ElasticSearch集群的iMAP大数据分析存储平台,最后通过Kibana进行Web端的可视化展现。通过对流量的实时采集,利用基于机器学习技术的告警引擎,对海量网络数据进行关联分析和实时告警。

image.png

                        图 1 iTAP-iMAP部署示意图

        二、事件综述


        2017年5月WannaCry勒索病毒肆虐全球,利用“永恒之蓝”传播,使得众多的学校、企业、政府机构的内网沦陷[1]。专家估计在全球造成损失总值约 80 亿美元[2]。


        近日,在某客户的内网环境中,利用南京云利来开发的智能大数据分析平台iMAP(intelligent Metadata Analytic Platform)发现了一个潜伏的WannaCry勒索病毒。 幸亏及时地发现,排除了大规模爆发的危险。



        三、问题分析


        1、发现异常


        在对客户的业务指标例行检查时,发现TCP重传率异常的高,长时间维持在60%以上的高位。通常来讲,TCP重传率如果这么高,网络已经无法正常使用。

image.png



图 2、TCP重传率维持在60%以上


        在iMAP平台上可以做时间的横向比较,与前一段时间的TCP连接个数对比:发现TCP连接数上涨了5倍。


image.png


图 3、两段时间的TCP连接数对比


        iMAP收集的元数据是由iTAP(intelligent TAP)提供的。iTAP的网络协议元数据分析是针对每一条流的,可以捕捉TCP的任何异常状态(图3右侧列出的多种TCP状态)。 分析发现其中270多万次TCP连接是以第一次握手超时结束。


image.png


图 4、大量TCP连接以第一次握手超时结束


        由此判断,造成TCP连接重传率过高的原因并不是网络故障,而是大量的以第一次握手超时结束的异常TCP连接。此时猜测,是内部存在的机器在进行类似DOS的攻击。


        2、深入调查


        此时利用iMAP平台自带的分析工具,深入调查发现,在270多万异常链接中, IP地址为172.31.0.20的一台内网机器发起249万多条TCP连接,其平均重传率高达66.62%。具体分析步骤如下:


        a)对sip(源IP地址)进行分类聚合;


        b)计算每个IP的平均重传率以及TCP连接个数;


        c)根据TCP连接个数进行排序。


image.png


图 5、聚合结果


        针对IP为172.31.0.20的内网主机,再深入分析,发现其240万次以上的TCP连接是以第一次握手超时结束。该主机的各种数据与发现的异常基本抿合,此时可以确认该主机正是引起此次异常的源头。具体操作如下:


        a)使用过滤条件,筛选出172.31.0.20主机的TCP记录;


        b)根据TCP结束状态进行分类聚合;


        c)计算每种结束状态的连接数。


image.png


图 6、172.31.0.20的TCP连接结束状态聚合结果


        再进行下钻分析:针对172.31.0.20,聚合域为dport(目标端口号),可以发现:240万次以上的TCP连接的目标端口号为445。


image.png


图 7、172.31.0.20的TCP连接目标端口聚合结果


        445端口是一个很敏感的端口,主要被Windows用于局域网文件共享、打印机共享,同时亦常被恶意软件用作局域网病毒传播。当产生大量目标端口445的TCP连接,很有可能该主机是被利用来使用“永恒之蓝”攻击程序对随机目标进行攻击。


        3、验证猜测


        最大规模利用“永恒之蓝”进行传播的病毒正是WannaCry,而“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”是该病毒的开关域名。当该域名能访问时,则不开始勒索行为[1]。


        查找历史记录,发现172.31.0.20该主机确实成功通过http访问过WannaCry的开关域名(状态码status为200)。

image.png



图 8、172.31.0.20成功访问WannaCry开关域名


        至此,已经可以完全确定该主机是感染了WannaCry病毒。但由于开关域名能被成功访问,所以病毒并没有执行文件加密、勒索等操作,但一直进行病毒传播行为。[1]


        随后,在客户网络运维团队协助下,登入该主机,发现了产生大量445端口的TCP连接的进程为名叫mssecsvc2.0的服务项,用于网络传播。同时发现C:\\Windows目录下有mssecsvc.exe与tasksche.exe两个可执行文件,分别为WannaCry的主程序与勒索程序。[3]


        四、总结


        根据以上分析, 我们可以生成一条WannaCry规则刻画勒索病毒的行为,从而形成对此类病毒的自动检测。我们提供了基于SQL文法的规则开发环境,方便规则库的开发和维护[4]。

        iTAP+iMAP提供了一个实时地全方位的网络安全保护机制。这种基于并行处理、大数据分析和AI自学习技术的SIEM平台可以为网络安全法的实施提供技术保障,积极地为网络监控和自动运维保驾护航。 他们的积极部署将成为网络防御体系中不可缺少的重要一环。




参考文献:
【1】唐锡南,"勒索病毒“永恒之蓝”的防御策略",http://ido-net.net/id14_en.html,2017.05
【2】动点科技,"WannaCry勒索病毒或致80亿美元损失", http://www.sohu.com/a/140929261_485557,2017.05
【3】安天安全研究与应急处理中心(Antiy CERT), “安天针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告”,http://www.antiy.com/response/wannacry.html,2017.05
【4】张立丹,“基于ES的SQL报警引擎”,http://ido-net.net/id17_en.html, 2017.11


【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。