记一次网络攻击流量样本分析过程

传统的网络安全检测方法大多是基于已知规则库进行监测，然而这一方法对未知威胁则无能为力。与此同时，业界一直有一个观点，网络攻击者的行为一定和正常的网络访问行为不一样。所以，网络安全管理员们会定期通过分析网络流量，以进一步检测网络中是否存在未知攻击行为，本文就是对这样的一次网络攻击流量样本分析过程的记录。

背景如下：某企业在互联网发现了公司的机密数据泄露，怀疑内网被入侵。于是网络运维工程师在入口设备上进行数据采集，并提取了怀疑被入侵的ip地址流量数据包，交给我分析是否确定存在网络攻击行为，以及具体的攻击细节是怎样的。

为便于理解，本文主要使用科来的网络分析软件，而不是wireshark进行数据分析

1. 首先载入疑似攻击流量的cap数据包，在软件的“协议”标签页可以看到，数据包会话都是TCP报文，因此到“TCP会话”页对其进行分析。

流量总体情况

2. 在“TCP会话”标签页，观察“开始发包时间”列（按该列排序），大概推断出涉及两次木马窃密攻击过程，一次是2014年5月8日，另一次是2014年9月11日。同时，观察“节点1”（源ip地址）与“节点2”（目的ip地址），可知被攻击目标ip（泄密终端）是192.168.130.30，而攻击者ip是变化的，分别为202.145.16.4与125.152.136.133，攻击者ip的切换与攻击时间的变化一致。

TCP会话总体情况

3. 为了方便分析，将所涉及到的3个ip地址按照归属地分别命名为“目标”、“日本攻击者”、“韩国攻击者”。

TCP会话总体情况

4. 刚才说到，数据涉及两次攻击。进一步分析，第一次攻击涉及5个TCP会话，其它会话均属于第二次攻击。首先双击第一次攻击的第1个会话，进入TCP流分析窗口。

第一次攻击

5. 此会话有3个数据流，在TCP握手环节，攻击者首先向目标的443端口发送SYN包，目标正常回应SYN+ACK包，说明端口开放且未被网络安全设备封堵。随后，攻击者立即发送RST包断开连续。我们注意到，SYN包携带了276字节的额外数据，这和正常的三次握手环节明确有区别，有理由怀疑该SYN有攻击迹象。

异常的SYN

6. 果然，在这个异常的SYN包后，目标立即主动回连攻击者。我们推断出，这个SYN包携带的数据应该起到一个激活木马的作用。目标先后发起4个TCP会话，特别需要注意的是最后一个会话，向攻击者发送了9.42MB的数据。另外，不同的会话在同一时间结束，推断出应该是一个多进程的窃密木马，有的进程用于传输数据，有的用于发送控制命令。

第一次攻击分析

7. 接下来分析第二次攻击。与上一次相比，时间跨度有近四个月，攻击者所用ip地址也从日本切换到韩国。首先双击第1个会话，弹出TCP流分析窗口。

第二次攻击总体情况

8. 第1个会话有4个数据流，攻击者首先向目标的443端口发送SYN包，与第一次攻击不同的是，没有携带额外数据，目标正常回应了SYN+ACK包。可以看出，该端口开放且未受网络安全设备封堵，随后攻击者发送RST包重置连接。推测，该会话是攻击者用来探测目标主机443端口是否仍然开放，毕竟距离上一次攻击已经过了近四个月的时间。

第二次攻击第一个会话

9. 接下来第2个会话，与第一次攻击特征完全一样，通过TCP握手的SYN包携带额外数据进行木马的激活操作，携带数据的长度仍是276字节。

第二次攻击SYN包

10. 再看第3个会话，和上次攻击一样，目标立即主动连接攻击者的443端口，但先后发的6个SYN包都没有成功建立连接，攻击者始终没有响应目标的连接。这当然不会是攻击者的变化，而应该是目标网络环境发生了变化，我们推测网管人员发现了上次攻击的痕迹，向防火墙添加了阻断目标主机外联443端口的规则。

第二次攻击变化

11. 接下来又是一个明显与正常网络访问不同的地方，连续进行的端口验证行为。这应该是，攻击者发现了异常，连续向目标发送443连接（8个会话中的7个），试图确定目标可达。比较特殊的是，第6个会话是攻击者向目标25端口发起连接请求，我们双击这个会话查看详情。

攻击者检测终端环境

12. 可以看到，目标的25端口打开了，我们可以轻松推断，这是一台邮件服务器。那么攻击者的意图应该是，证明目标仍然是一台邮件服务器，用途没有发生变化。

邮件服务器端口开放情况

13. 再往下，通过上面的踩点，攻击者切换了攻击思路，既然443端口无法回联，那么110端口呢？我们看到目标回联了攻击者的110端口，毕竟作为邮件服务器，连续彼端110端口进行邮件收取也是正常的，防火墙应该会放开端口。

攻击思路转变

14. 对攻击者来说，好景不长，仅仅0.1毫秒以后，目标即发出了RST包重置连接，从0.1毫秒的响应时差来看，应该是从目标内网的安全设备发出的，例如IPS入侵检测发现攻击行为后通知防火墙进行阻断的方式。显然，目标内网的安全防护有所增强。

攻击又被阻断

15. 接下来2次会话，攻击者又发起2个控制会话，而目标又回联攻击者的110端口。不出所料，均以收到安全设备的RST重置连接收场。

再次尝试并被阻断

16. 接下来的数据，可以看到，连续的失败并没有让攻击者放弃。我们站在攻击者的角度，目标终端是邮件服务器这一性质没有改变，25和110端口也没有被封堵，虽然被回联的时候目标网络的安全设备阻断。进一步试想，安全设备基于的是已知规则，如果对方认为110端口（POP3收取邮件）外联属于非常，那么25端口（smtp发送邮件）呢？可能因为正是这一判断，攻击者重新激活目标，并通过25端口实现回联。认真观察，我们又发现了一处和正常网络访问不一样的地方，目标回联攻击者的25端口，却使用的是HTTP协议（正常应该是SMTP协议），非常不合理。

25端口回联

17. 双击进入详细分析，查看数据流，可以看到目标通过HTTP协议向攻击者请求下载名为“sendmail”的文件，文件以ELF开头，是Linux系统下的可执行文件格式，这么异常的文件显然应该是一个木马。我们推测是攻击者通过这个文件对原有木马进行了更新，以应对目标网络环境发生的变化。

下载可执行文件

18. 木马更新后，目标立即成功回联攻击者，使用的是攻击者所验证的可以突破目标网络安全防护的25端口，所用协议也更改为SMTP协议（刚才是HTTP协议）。会话一直持续了两个多小时，且攻击者发送的数据多于所接收的，可以推测该会话为木马控制进程所使用的会话。

控制进程

19. 随后攻击者又启动了第2个进程作为传输通道，并窃取了10M的数据。

窃取数据

到这里，剩余的数据就不用分析了，我们很确定的告诉了该企业相关负责人，他们的邮件服务器被入侵了，具体入侵细节和步骤如上。