科来已经发布了最新版的《CSNA网络分析经典实战案例》、《网络通讯协议图》、《网络攻击与防范图谱》等资料,并欢迎大家关注“科来”官微,联系后台小姐姐,领取印刷版资料以及了解更多技术分析案例。

  点击播放本案例音频

科来教你如何拒绝门户网站“被黑”20240823更新

  新年伊始,科来首先给大家拜年,祝大家身体健康,开工大吉!

  今年,科来的一项重要举措是在公众号中定期发布一系列关于网络流量分析技术的文章、音频、视频等学习内容,为大家提供解决网络疑难问题、网络安全问题的思路和方法。

  下面,让我们开始本案例的分析——《如何分析入侵门户网站的攻击行为》。

  1.1 问题描述

  某门户网站多次“被黑”,影响恶劣,已经引起相关领导的高度重视。由于运维管理人员不了解黑客的攻击手法,因此无法彻底避免这类安全事件发生,只能通过登录被黑服务器查找到被黑页面,并删除相关“黑链”信息等处理方式,这使得运维工作十分被动。

  因此,该门户网站领导决定利用记录网络全流量的技术手段,经过多方比较,最终选择部署科来网络回溯分析系统(RAS)来收集全部网络流量,还原“事故现场”,从而彻底解决这一难题。当事件再一次发生之后,该网站运维人员第一时间联系了科来网络分析工程师,对本次安全事件进行针对性的分析工作。

  1.2 分析过程

  1.2.1 问题现象分析

  首先,科来网络分析工程师和客户运维工程师合作,通过登录被黑服务器,删除相关“黑链”信息,及时恢复网站的正常访问,并确定“被黑”时间为10月31日19点12分(服务器时间),进而了解到相关“黑链”是由172.X.X.2为制作服务器并通过FTP上传至被黑服务器,详情如下图所示。

  图 1-1

  通过服务器相关日志提供的IP及时间信息,在科来网络回溯分析系统中找到该事件发生时段的流量,下载并回溯分析这段时间内的通讯数据,内容如下图所示。

  图 1-2

  在事发时间段,存在两个可疑点:

  1)制作服务器172.X.X.2与发布服务器172.X.X.3进行过数据通讯,且通信内容就是将“黑链”上传至发布服务器,内容如下图所示。

  图 1-3

  2)制作服务器172.X.X.2还与另外一台服务器172.X.X.33进行了数据通信,且使用的应用是SSH。SSH作为服务后台调试的软件,此时不恰当的出现而引起注意,如下图所示。

  图 1-4

  通过分析发现,172.X.X.33向172.X.X.2发起了后台数据的调试访问,故172.X.X.2并非直接“真凶”,还需要对172.X.X.33的通讯数据进行进一步分析确认。

  172.X.X.33为该网站移动端发布系统的服务器,能够直接与外界的互联网IP进行通讯。通过科来设备进行数据回溯,梳理出事发时间段内该嫌疑主机与其他主机的通讯记录,如下图所示。

  图 1-5

  如上图所示,除了正常来自国内互联网的访问IP,还隐藏着一个来自韩国的IP地址112.X.X.81。网站作为某省的著名门户网站,其主要的访问源都在国内,通常情况下不会有来自境外的访问,故此韩国IP有重大嫌疑。

  对此,我们将172.X.X.33与112.X.X.81的通讯流量进行单独的回溯分析,其流量趋势,如下图所示。

  图 1-6

  通过上图可直观的看到,172.X.X.33与112.X.X.81在17点20分至19点30分都存在持续性的流量通讯行为,通过进一步数据挖掘,可以看到172.X.X.33在17点20分对112.X.X.81首先发起了主动外联,并与境外主机建立了心跳检测的链接,如下图所示。

  图 1-7

  由于传统的安全防护设备只对由外至内的通讯流量进行安全监测,而本次连接是由内网IP主动发起,故成功避开了防火墙等安全设备的检测。由此可见,172.X.X.33这台服务器早已被黑客渗透,并被写入了恶意程序。

  在连接建立以后,112.X.X.81开始对172.X.X.33进行远程操作,详情如下图所示。

  图 1-8

  受控主机172.X.X.33主动发起一个对www.baidu.com的访问请求,而实际地址却指向了境外IP地址112.X.X.81,由此可知,这是一个伪装的网页访问交互过程。本次会话持续时间段为18点48分12秒至19点14分14秒,表明黑客通过对受控主机172.X.X.33进行了长达26分钟的实际操控。

  1.2.2 事件复盘

  复盘整个事件需要我们将观察点返回至172.X.X.33、制作服务器172.X.X.2及发布服务器172.X.X.3上,还原整个“犯罪过程”:

  1)经过黑客与受控主机172.X.X.33的相关准备工作后,出于隐匿行踪的考虑,172.X.X.33首先与制作服务器172.X.X.2建立联系,并在18点59分38秒成功登录172.X.X.2的调试后台,并将其作为攻击跳板。

  图 1-9

  2)然后172.X.X.2在18点50分24秒对172.X.X.33进行反向访问,将黑客事先上传至172.X.X.33服务器的压缩文件jxpx10_31.rar进行下载,并解压得到01031_100111.shtml文件。

  图 1-10

  3)最后,再由“跳板”172.X.X.2将恶意文件上传至发布服务器172.X.X.3。经过发布服务器后台查询,01031_100111.shtml文件正是被上传至发布服务器的“黑链”文件。

  图 1-11

  图 1-12

  1.3 分析结论

  首先攻击者在该网移动端发布系统172.X.X.33上写入恶意程序,并通过其建立与网站的连接。通过该系统制作服务器172.X.X.2下载要发布的“黑链”,并上传给发布服务器172.X.X.3,最终实现了恶意链接的发布。由此可见,整个攻击过程隐蔽性高且经过长期策划,攻击者利用该网战作为门户网站的流量优势,发布恶意“黑链”谋求暴利,极大的损伤了该网站的声誉。

  1.4 价值

  网络全流量回溯分析,实现长期网络实时数据的完整保存,可以在发现问题时提供一定时间范围(根据采用设备的存储容量而定)内的回溯分析,为迅速定位问题发生原因提供了全面的分析依据,同时为网络安全事件发生后的数据取证提供了强有力的数据支撑。

  另外,我们说网络全流量分析是应对安全问题行之有效的手段,因为再高级的攻击都会留下网络痕迹。通过对这些蛛丝马迹的跟踪分析,可以感知并发现未知威胁,复盘攻击手法,从而采取应对措施,及时止损。

  关注“科来”官微,了解更多技术分析案例,获取最新版的《CSNA网络分析经典实战案例》、《网络通讯协议图》、《网络攻击与防范图谱》等资料。