· 全国
收起
3.1、单点事件描述数据的行为分析
例如一个进程的启动,进程自身的行为与环境信息。
这里你看到了什么?以下均可作为恶意进程检测规则。
1) 父进程为IE;
2) 进程运行在IE缓存目录;
3) 进程PE信息:加壳,未签名, 多个PE头部 等
3.2、上下文事件关联分析
例如:一个进程状态的变化,以及父子进程状态的变化。
这是ProFTPD的一个远程缓冲区溢出漏洞攻击后的结果,从pstree可以看到proftpd进程派生了一个bash子进程。正常情况下bash通常只会从系统登录后的sshd\login等进程启动,这可作为一个异常告警逻辑。大家再想想这个场景还会有那些特征?
规则描述
3.3、多数据纬度关联分析
例如:NIDS与HIDS的数据联动分析。
IDS上出现来至非正常业务逻辑的文件上传事件,于此几乎同时,HIDS出现一个CGI文件生成事件,可作为可疑webshell上传行为规则。上传漏洞千变万化,导致入侵者能上传webshell的原因也千奇百怪,我们勿需为每一个web漏洞建立检测规则,形成臃肿的规则库,只要符合上述行为特征,就能被发现。
四、实战推演
前面洋洋洒洒那么多,还是实战来得实际。下面我们通过对一个确切的攻击场景实现检测能力来实践前面的思路。
4.1、场景分析
在黑客入侵过程中,通常有一个环节,就是通过漏洞对自身拥有的权限进行提升,简称提权。常见的提权手法是,发现系统存在的漏洞,执行漏洞利用程序,exp利用漏洞获取一个高权限的shell。
