1、不寻常的出站网络流量
也许最大的迹象就是不寻常的出站网络流量。“常见的误解是网络内部的流量都是安全的,”AlgoSec公司高级安全战略家Sam Erdheim表示,“查看离开网络的可疑的流量,我们不仅要关注进入网络的流量,而且还要注意出站流量。”对于现代攻击,企业很难阻止攻击者进入网络,因此,企业更应该关注出站流量。NetIQ公司解决方案战略主管Geoff Webb表示:“所以,最好的办法是检查网络内部的活动,以及检查离开网络的流量。受攻击的系统通常会呼叫命令控制服务器,你可以密切关注这种流量,以阻止攻击。”
2、特权用户账户活动异常
在精心策划的攻击中,攻击者要么提升他们已经攻击的账户的权限,要么使用攻击的账户进入更高权限的其他账户。从特权账户查看不寻常的账户行为不仅能够发现内部攻击,而且还可以发现账户被控制。Webb表示,“特权用户行为的变化可能表明其他人正在使用该账户来攻击你的网络,企业应该关注账户变化,例如活动时间、访问的系统,访问的信息的类型或数量。”
3、地理异常
无论是否是通过特权账户,登录和访问中的地理异常也可以表明攻击者正在试图从很远的地方进行攻击。例如,企业发现正在与没有业务往来的国家之间的流量往来时,应该进行调查。ThreatTrack Security公司安全内容管理主管Dodi Glenn表示,同时,当账户在短时间内从世界各地不同IP登录,这可能是攻击的迹象。
4、登录异常和失败
登录异常和失败可以提供很好的线索来发现攻击者对网络和系统的探测。Beachhead Solutions公司产品专家Scott Pierson表示,多次登录失败也可能标志着攻击的发生,检查使用不存在的用户账户的登录,这通常表明有人试图猜测用户的账户信息以及获得身份验证。同样的,在下班时间尝试获得成功登录也可能表明,这不是真正的员工在访问数据。企业应该对此进行调查。
5、数据库读取量激增
当攻击者入侵企业并试图渗出信息时,你可能会发现数据存储中的变化。其中之一就是数据库读取量激增。瞻博网络首席软件架构师Kyle Adams表示:“当攻击者试图提取完整的信用卡数据时,他会产生巨大的读取量,这肯恩比你通常看到的信用卡读取高出很多。”
6、HTML响应大小
Adams还表示,如果攻击者使用SQL注入来通过web应用程序提取数据的话,攻击者发出的请求通常会包含比正常请求更大的HTML响应。他表示:“例如,如果攻击者提取全部的信用卡数据库,那么,对攻击者的单个响应可能会是20MB到50MB,而正常响应是200KB。”
7、大量对相同文件的请求
攻击者需要进行大量的试验和犯错才能发动攻击,他们需要尝试不同的漏洞利用来找到一个入口。当他们发现某个漏洞利用可能会成功时,他们通常会使用不同的排列组合来启动它。Adams表示,“因此,他们攻击的URL可能在每个请求上会有所改变,但实际的文件名部分可能会保持不变,你可能会看到单个用户或IP对‘join.php’进行500次请求,而正常情况下,单个IP或用户最多只会请求几次。”
8、不匹配的端口应用流量
攻击者经常利用模糊的端口来绕过更简单的web过滤技术。所以,当应用程序使用不寻常的端口时,这可能表明命令控制流量正在伪装成“正常”的应用程序行为。Rook Consulting公司SOC分析师Tom Gorup表示,“我们可能会发现受感染的主机发送命令控制通信到端口80,它们伪装成DNS请求,乍一看,这些请求可能像是标准DNS查询;然而,你仔细看的话,你会发现这些流量通过非标准的端口。”
9、可疑的注册表或系统文件的更改
恶意软件编写者在受感染主机内保持长期存在的方法之一是通过注册表的更改。当应对基于注册表的IOC时,创建基线是最重要的部分,Gorup表示,“定义正常的注册表应该包含的内容,这基本上创建了一个过滤器。监测和警报偏离正常模板的变更,将提高安全团队的响应时间。”同样地,很多攻击者可能会留下迹象表明,他们已经篡改了主机的系统文件和配置,企业可以通过查看这些变化来快速发现受感染系统。他表示,“可能发生的情况是,攻击者将安装数据包嗅探软件来获取信用卡数据,攻击者会瞄准可以查看网络流量的系统,然后安装这种工具。虽然捕捉这种攻击的机会很渺茫(因为它们非常具有针对性,可能以前没有见到过),但企业可以发现系统的变更。”
10、DNS请求异常
根据Palo Alto公司高级安全分析师Wade Williamson表示,企业应该查看的最有效的攻击迹象是,恶意DNS请求留下的告密者模式。他表示,“命令控制流量通常对于攻击者是最重要的流量,因为它允许他们持续管理攻击,并且,他们需要保护这种流量,以确保安全专家不会轻易发现,企业应该识别这种流量的独特模式,因为它能够用来发现攻击活动。”他表示,“当来自特定主机的DNS请求明显增加时,这可能表明潜在的可疑行为,查看到外部主机的DNS请求模式,将其与地理IP和声誉数据对照,并不熟适当的过滤,可以帮助缓解通过DNS的命令控制。”
11、莫名其妙的系统漏洞修复
系统修复通常是好事情,但如果系统突然毫无征兆地进行修复,这可能表明攻击者正在锁定系统,使其他攻击者不能使用它来进行其他犯罪活动。“大多数攻击者试图利用你的数据来赚钱,他们当然不希望与其他人分享胜利果实,”Webb表示。
12、移动设备配置文件变更
随着攻击者转移到移动平台,企业应该关注移动用户的设备配置中的不寻常的变更。他们还应该查看正常应用程序的变更,更换成可能携带中间人攻击或者诱使用户泄露其登陆凭证的程序。Marble Security公司创始人兼首席信息官Dave Jevans表示,“如果托管移动设备获得一个新的配置文件,而不是由企业提供的,这可能表明用户的设备以及其企业登陆凭证受到感染,这些配置文件可能通过钓鱼攻击或者鱼叉式钓鱼攻击被安装在移动设备上。”
13、数据位于错误的位置
根据EventTracker的Ananth表示,攻击者通常在尝试渗出之前,会将数据放在系统的收集点。如果你突然看到千兆级信息和数据位于错误的位置,并且以你们公司没有使用的压缩格式,这就表明攻击的存在。通常情况下,当文件位于不寻常的位置时,企业应该进行严格审查,因为这可能表明即将发生数据泄露事故。HBGary公司威胁情报主管Matthew Standart表示:“在奇怪位置的文件,例如回收站的根文件夹内,很难通过Windows发现,但这些可以通过精心制作的指示器来查找。”
14、非人类行为的web流量
Blue Coat公司威胁研究主管Andrew Brandt表示,与正常人类行为不匹配的web流量不应该通过嗅探测试。他表示,“你在什么情况下会同时打开不同网站的20个或者30个浏览器窗口?感染了不同点击欺诈恶意软件的计算机可能会在短时间内产生大量Web流量。例如,在具有锁定软件政策的企业网络中,每个人都只能使用一种浏览器类型,分析师可能会发现这样的web会话,用户代理字符显示用户在使用企业不允许的浏览器类型,或者甚至不存在的版本。”
15、DDoS攻击活动的迹象
分布式拒绝服务攻击(DDoS)经常被攻击者用作烟雾弹来掩饰其他更恶劣的攻击。如果企业发现DDoS的迹象,例如缓慢的网络性能、无法使用网站、防火墙故障转移或者后端系统莫名其妙地以最大容量运行,他们不应该只是担心这些表面的问题。Corero Network Security公司首席执行官Ashley Stephenson表示,“除了超负荷主流服务外,DDoS攻击通常还会‘压垮’安全报告系统,例如IPS/IDS或者SIEM解决方案,这可以让攻击者植入恶意软件或窃取敏感数据。因此,任何DDoS攻击都应该被视为相关数据泄露活动的迹象。”