网站恶意软件流量分析是捕获网络流量中恶意软件的重要来源。我决定以一个Qakbot感染的spambot活动为例。首先需要了解如下内容
- Qakbot:一个活跃的银行木马
- Cobalt Strike:一款商业渗透测试工具,不幸的是,Cobalt Strike的盗版已经被泄露。
- Spambot活动,分发QakBot
默认情况下,ntopng是监控实时网络的,但是将接口定向到pcap标准数据包文件,也可以读取和处理它。
分析网络流量
首先要启动ntopng,打开指定的pcap:
代码语言:javascript复制sudo ntopng -i 2020-12-07-Qakbot-with Cobalt Strike-and-Spambot-activity.pcap
可以通过Web gui访问ntong
代码语言:javascript复制http:// localhost:3000或http:// <服务器ip>:3000
ntopng将提示您输入用户名和密码。登录后,您将看到界面概述,显示选定的界面是pcap dump和pcap文件的名称:
快速浏览一下流量摘要图标可以看到,ntopng发现了许多问题:
现在,我不再检查流量警告或错误,而是从“地图”菜单导航到“主机地图”,然后在下拉过滤器菜单中选择“警报流量”。该视图提供了带有警报的主机的概述。主机映射在x轴主机(显示为带有警报的服务器)和y轴主机(显示为客户端)上显示。注意:主机可以是服务器和/或客户端。圆圈的大小与警报的数量成正比,即,最大的圆圈显示警报次数最多的主机。在过滤器下拉列表中,您可以找到其他有用的过滤器,例如“流量比率”或“ DNS请求与响应”。
继续关注最大的圆圈,即左上角的圆圈,因为该主机大约有170个警报。鼠标悬停显示IP地址10.12.7.101,单击圆圈打开主机信息页面:
从上图我们可以得到如下信息:
1、主机是Windows 8客户端;
2、主机作为客户端的安全评分为19905,单个主机的安全评分很高。ntop使用分数作为基于风险的方法来解决安全性或与协议相关的缺陷。例如,流中的恶意数据使主机得分增加210,流中的可疑数据增加200。例如,高于1000表示不良,低于100表示一切良好,相反,可以看到分数作为可能出现问题的指标;
3、在来自此主机的634个流中,有168个警报。这意味着大约。1/4的流量有问题。确实非常不寻常。
对于该主机,统计了152个SMTP(或SMTPS)流。这意味着用户已连接到许多不同的SMTP服务器。同样,这对于客户来说是非常不寻常的。一个普通用户可能拥有5或10个不同的电子邮件帐户,导致10 SMTP流,但是152个SMTP连接看起来不正常。
现在,让我们检查由ntopng生成的警报。通过单击警告标志 ,主机视图的流警报将打开:
我按得分筛选的列表,以获得得分最高的警报。
让我们仔细看看第一个错误,“ TLS证书自签名”。我们可以通过按放大镜按钮来向下钻取:
再次看到有很多关于流的信息。为了进行安全性分析,我们仔细研究三个突出显示的项目:
1、客户请求的提取URL http:// amajai-technologies .world /看起来一目了然。它看上去是不是与akamaitechnologies.com很相似?相似域在日常工作中容易受到监督,并且是真正的网络安全威胁。
2、TLS证书是自签名的:红色标志。没有信誉良好或专业的服务会使用自签名证书进行外部/ Internet通信。此外,TLS颁发者和主题字段为空,红色标记变大了。作为参考,证书颁发者的信息如下所示:
3、假设这个流有什么奇怪的地方,可以通过JA3客户端指纹进行验证。 如下图所示客户端指纹被列为恶意。从JA3到sslbl.abuse.ch进一步了解,是的,客户端证书是恶意的。
虽然被列入黑名单的JA3并不是Qakbot,但我们刚刚发现,这台主机感染了Gozi银行木马。
结论
即使是用于分析记录的网络流量,ntopng还是帮助您大致了解网络情况的好方法。但是ntopng的真正价值在于,它可以实时进行所有评分和警报。面对上述恶意软件,我可能不会立即知道它到底是什么类型的恶意软件,但是生成的警报强烈表明该主机存在问题,可以将其与网络隔离以进行进一步分析。