UTS破局冰蝎4.0,推出基于 https網站的雙重加密流量檢測
近年來網絡安全形勢日益復雜嚴峻,加密流量成為安全威脅眾矢之的。攻防演練中,藍軍人員通常將控制請求進行各種加密和編碼,以更加貼合業務流量的方式隱匿在正常請求中。Webshell正在朝著無文件化、流量隱匿化發展,傳統檢測手段逐漸失效,威脅監控正在面臨著新的挑戰。
綠盟綜合威脅探針(UTS)是綠盟科技首款面向全行業的全流量威脅檢測探針,利用協議解析、流量還原、威脅檢測、機器學習等手段,針對傳統威脅及APT高級威脅進行實時檢測和留存,全場景覆蓋,極大的提升威脅檢測及溯源取證能力。
在加密流量檢測方面,UTS是一把利刃,具備高精度、高性能的特點,同時支持多個應用場景。應用機器學習算法,針對旁路鏡像流量,通過數據處理、特征工程、模型訓練、情報融合等手段,提供可落地的加密流量檢測與識別方案,能夠精確識別冰蝎等加密Webshell黑客工具及加密代理工具。
圖1 UTS加密流量檢測技術
冰蝎是一款新型Webshell客戶端,是基于Java開發的動態加密通信流量工具。其最大特點是對交互流量進行AES對稱加密,且加密密鑰是由隨機數函數動態生成,能夠有效規避流量設備的檢測,檢測難度較大。
近日冰蝎推出4.0版本,增加了多項功能,如允許用戶自定義多類傳輸協議,并根據傳輸協議動態生成服務端等;支持Java Agent無文件落地注入內存馬;新增多層網絡子Shell穿透模塊,實現多層“蝎中蝎”等。所謂“未知攻,焉知防”,綠盟科技安全研究團隊立刻針對新版冰蝎加密流量展開了研究,并升級了原有檢測方案,關于冰蝎4.0的不同腳本、不同加密方式等不同配置如圖2所示。
圖2 雙重加密流量檢測
雙重加密流量是指在冰蝎4.0工具產生的加密流量基礎上,https網站給加密流量再增加了一重https加密,這類流量看不到任何明文或特征,檢測難度較大。針對這個問題,UTS升級了基于https網站的雙重加密流量檢測。
經過對多種配置下冰蝎4.0加密流量的抓包分析,UTS成功完成了針對冰蝎4.0各種配置和基于https網站的雙重加密流量檢測。UTS能夠及時生成告警日志,并在日志詳情中提供詳細的攻擊信息,幫助客戶進行下一步威脅處置,如圖3、4所示。同時UTS具備全面的威脅回溯和取證能力,留存告警日志和原始數據包,能夠對未知威脅進行溯源取證。
圖3 UTS告警日志列表
圖4 UTS告警日志詳情
如今現網超過80%的流量都是加密的,加密網絡空間的安全防御是必然。任何安全產品脫離對威脅的認知、分析和跟蹤,都是站不住腳的。面對風云變幻的網絡安全形勢,UTS不斷更新優化產品功能,為客戶提供全面且精準的威脅檢測服務。道阻且長,行則將至。在未來的發展之路上,UTS必將繼續提升自身的創新能力和服務能力,為客戶創造更大的價值。
