Snort IPS引擎是Cisco火力威胁防御和Cisco Meraki IPS系统的核心. 由思科的Talos集团维护, Snort引擎, 它的签名是通过开源GPL授权给全世界的,因此它是世界上分布最广泛的IPS引擎.
Talos最近的一篇博客文章总结了2017年Snort引擎上最常触发的5个签名.
要特别注意第5条和第3条,因为在我看来,这两条都是“早期预警”,表明你的网络中可能正在酝酿一些不好的事情. 在我们日常监控的学校IPS模块上,我们不幸地看到这些签名经常着火. 这些冲击的来源可能值得更多的关注.
像往常一样, 完整的文章是一个有趣的阅读,让你对现实世界的互联网发生了什么有一个感觉.
如需完整的Cisco Talos博客条目和其他图表,请点击以下链接:
http://blog.talosintelligence.com/2018/01/2017-in-snort-signatures.html
以下是Talos博客文章的摘要:
2017年是网络安全多年多月的一年,网络安全漏洞引人注目,这些漏洞允许自我复制的蠕虫攻击,如WannaCry和BadRab位,影响世界各地的组织. In 2017, Talos研究人员发现了许多新的攻击,包括在CCleaner等合法软件中安装后门, 旨在针对高科技公司和M.E.博士,对奈提亚的最初传播负有责任. 尽管如此, 成为头条新闻的攻击只是安全系统提供的日常保护的一小部分.
在这篇文章中, 我们回顾一下通过调查Cisco Meraki系统报告的最常触发的Snort签名(包含在Snort默认策略集中)而得出的一些发现.
签名Top 5
Snort签名根据检测到的活动类型分为不同的类,最常报告的类类型是“特洛伊木马活动”,其次是“策略违规”和“杂项活动”。. 一些不经常报告的类类型,如“Attempted-admin”和“网络-application-attack”,在检测恶意入站和出站网络流量的上下文中特别有趣.
Snort签名分为三个部分. 生成ID (GID)、签名ID (SID)和修订号. 的 GID identifies what part of Snort generates the event; ‘1’ indicates an event has been generated from the text rules subsystem. SID唯一地标识规则本身. 您可以通过Snort网站上的搜索框搜索有关sid的信息. 的 revision number is the version of the rule; be sure to use the latest revision of any rule.
废话不多说, 以下是策略中触发的前5个签名(按倒序排列), 正如您从年度Snort警报Top图表中所期望的那样.
#5 - 1:39 . 86:3“可疑 .tk dns 查询”
的 .tk顶级域名属于南太平洋领土托克劳. 域名注册机构允许注册域名而无需付费,这导致 .Tk顶级域名是注册域名数量最多的国家之一. 然而,这种免费注册导致 .Tk域经常被攻击者滥用.
此签名触发DNS查找 .tk域. 这种情况并不一定意味着这种查找本质上是恶意的, 但对于网络上的可疑活动,它可以是一个有用的指标. 应该调查网络上该规则触发的急剧增加的原因, 特别是如果一个单一的设备负责这些触发器的很大一部分.
其他,类似的签名检测对其他很少使用的顶级域的DNS查找,例如 .位, .pw和 .Top也进入了我们的前20条最容易触发的规则.
#4 - 1:23493:6“赢.木马.“零访问出站连接”
ZeroAccess是一种感染窗户。系统的木马, 安装一个rootkit来隐藏其在受影响机器上的存在,并作为进行点击欺诈活动的平台. 该规则检测受感染系统发送到所谓超级节点的UDP数据包, 哪些参与网络的命令和控制服务器. 该规则可用于阻止来自恶意软件的出站通信.
ZeroAccess是一种最先进的rootkit,能够隐藏受感染机器上的基本检测APP客户端. 然而, 使用Snort等IPS进行网络检测可以快速查明恶意ZeroAccess流量的来源,因为它会产生相当嘈杂和规则的通信模式.
恶意软件每秒向超级节点发送一次UDP报文进行校验, 因此,单个受影响的组织预计会发出多次警报. 这可能是零访问检测签名在我们的列表中排名较高的原因之一.
#3 - 1:410 . 83:1 "可疑 .位 dns 查询”
的 .位顶级域名扩展相对晦涩,但偶尔用于托管恶意软件C2系统,Necurs是使用它作为僵尸网络通信的一部分的家族之一. 的 .位tld使用名字。coin管理, 一个没有中央权威的分布式账本,是比特币加密货币的首批分支之一. 分散的本质 .位域表示解析该域的DNS服务器很少, 但同样的,这些域也不会被破坏.
签名触发DNS查找 .位域. 与 .tk查找, 如果签名触发, 这并不一定意味着这种查找本质上是恶意的. 然而,规则触发的急剧增加可能需要调查.
#2 - 1:42 . 79:1“赢了.木马.使用唯一User-Agent的出站连接尝试"
Jenxcus与其说是木马,不如说是蠕虫, 尽管在人类可读的签名描述中使用了命名. 它通过将自身复制到可移动和共享驱动器来传播,并允许攻击者远程访问和控制受感染的系统. 像许多木马一样, 一旦系统被感染, Jenxcus寻求与其“C2基础设施”建立联系. 此联系是通过使用特定用户代理字符串的HTTP POST请求进行的. 用户代理字符串本身是特定于此木马及其许多变体的,可以使用此签名检测和阻止.
#1 - 1:40522:3“Unix.木马.Mirai变体 post-compromise 指纹”
物联网(IoT)安全是我们广泛撰写的内容. Mirai僵尸网络及其变种继续试图通过使用默认用户名和密码登录来感染物联网设备. 一旦恶意软件成功访问设备, 它将检查设备是否像预期的那样运行,而不像蜜罐. 该规则检测到的就是这个检查. 这种事后入侵活动全年不断出现,在2月份达到高峰,占每天报告的所有警报的20%以上.
最近的评论