基于ELK的勒索病毒WannaCry自动发现原理

网友投稿 803 2022-05-30

基于ELK的勒索病毒WannaCry的自动发现原理

基于鲲鹏芯片的TaiShan服务器部署流量采集器和ELK大数据分析平台实现全流量的网络协议分析捕捉TCP层的流量异常,再通过大数据分析精确判断出勒索病毒的根源,最后用人工智能技术自动检测勒索病毒。

一、平台搭建

在基于鲲鹏芯片的TaiShan服务器搭建主要以iTAP(流量采集器),iMAP(ELK大数据分析平台)为核心的全流量大数据分析平台。网络流量数据通过iTAP以40Gbps/s高速接收处理分析网络报文后直接汇聚到Kafka。数据汇聚总线以Kafka为核心,通过消费者导入到ElasticSearch集群的iMAP大数据分析存储平台,最后通过Kibana进行Web端的可视化展现。通过对流量的实时采集,利用基于机器学习技术的告警引擎,对海量网络数据进行关联分析和实时告警。

图 1 iTAP-iMAP部署示意图

二、事件综述

2017年5月WannaCry勒索病毒肆虐全球,利用“永恒之蓝”传播,使得众多的学校、企业、政府机构的内网沦陷[1]。专家估计在全球造成损失总值约 80 亿美元[2]。

近日,在某客户的内网环境中,利用南京云利来开发的智能大数据分析平台iMAP(intelligent Metadata Analytic Platform)发现了一个潜伏的WannaCry勒索病毒。 幸亏及时地发现,排除了大规模爆发的危险。

三、问题分析

1、发现异常

基于ELK的勒索病毒WannaCry的自动发现原理

在对客户的业务指标例行检查时,发现TCP重传率异常的高,长时间维持在60%以上的高位。通常来讲,TCP重传率如果这么高,网络已经无法正常使用。

图 2、TCP重传率维持在60%以上

在iMAP平台上可以做时间的横向比较,与前一段时间的TCP连接个数对比:发现TCP连接数上涨了5倍。

图 3、两段时间的TCP连接数对比

iMAP收集的元数据是由iTAP(intelligent TAP)提供的。iTAP的网络协议元数据分析是针对每一条流的,可以捕捉TCP的任何异常状态(图3右侧列出的多种TCP状态)。 分析发现其中270多万次TCP连接是以第一次握手超时结束。

图 4、大量TCP连接以第一次握手超时结束

由此判断,造成TCP连接重传率过高的原因并不是网络故障,而是大量的以第一次握手超时结束的异常TCP连接。此时猜测,是内部存在的机器在进行类似DOS的攻击。

2、深入调查

此时利用iMAP平台自带的分析工具,深入调查发现,在270多万异常链接中, IP地址为172.31.0.20的一台内网机器发起249万多条TCP连接,其平均重传率高达66.62%。具体分析步骤如下:

a)对sip(源IP地址)进行分类聚合;

b)计算每个IP的平均重传率以及TCP连接个数;

c)根据TCP连接个数进行排序。

图 5、聚合结果

针对IP为172.31.0.20的内网主机,再深入分析,发现其240万次以上的TCP连接是以第一次握手超时结束。该主机的各种数据与发现的异常基本抿合,此时可以确认该主机正是引起此次异常的源头。具体操作如下:

a)使用过滤条件,筛选出172.31.0.20主机的TCP记录;

b)根据TCP结束状态进行分类聚合;

c)计算每种结束状态的连接数。

图 6、172.31.0.20的TCP连接结束状态聚合结果

再进行下钻分析:针对172.31.0.20,聚合域为dport(目标端口号),可以发现:240万次以上的TCP连接的目标端口号为445。

图 7、172.31.0.20的TCP连接目标端口聚合结果

445端口是一个很敏感的端口,主要被Windows用于局域网文件共享、打印机共享,同时亦常被恶意软件用作局域网病毒传播。当产生大量目标端口445的TCP连接,很有可能该主机是被利用来使用“永恒之蓝”攻击程序对随机目标进行攻击。

3、验证猜测

最大规模利用“永恒之蓝”进行传播的病毒正是WannaCry,而“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”是该病毒的开关域名。当该域名能访问时,则不开始勒索行为[1]。

查找历史记录,发现172.31.0.20该主机确实成功通过http访问过WannaCry的开关域名(状态码status为200)。

图 8、172.31.0.20成功访问WannaCry开关域名

至此,已经可以完全确定该主机是感染了WannaCry病毒。但由于开关域名能被成功访问,所以病毒并没有执行文件加密、勒索等操作,但一直进行病毒传播行为。[1]

随后,在客户网络运维团队协助下,登入该主机,发现了产生大量445端口的TCP连接的进程为名叫mssecsvc2.0的服务项,用于网络传播。同时发现C:\\Windows目录下有mssecsvc.exe与tasksche.exe两个可执行文件,分别为WannaCry的主程序与勒索程序。[3]

四、总结

根据以上分析, 我们可以生成一条WannaCry规则刻画勒索病毒的行为,从而形成对此类病毒的自动检测。我们提供了基于SQL文法的规则开发环境,方便规则库的开发和维护[4]。

iTAP+iMAP提供了一个实时地全方位的网络安全保护机制。这种基于并行处理、大数据分析和AI自学习技术的SIEM平台可以为网络安全法的实施提供技术保障,积极地为网络监控和自动运维保驾护航。 他们的积极部署将成为网络防御体系中不可缺少的重要一环。

参考文献:

【1】唐锡南,"勒索病毒“永恒之蓝”的防御策略",http://ido-net.net/id14_en.html,2017.05

【2】动点科技,"WannaCry勒索病毒或致80亿美元损失", http://www.sohu.com/a/140929261_485557,2017.05

【3】安天安全研究与应急处理中心(Antiy CERT), “安天针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告”,http://www.antiy.com/response/wannacry.html,2017.05

【4】张立丹,“基于ES的SQL报警引擎”,http://ido-net.net/id17_en.html, 2017.11

鲲鹏 通用安全

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:最新Flutter 微信分享功能实现
下一篇:自定义SCOM性能视图
相关文章