在上期文章中，我們將攻防演練場(chǎng)景下的加密流量分為入聯(lián)、橫向、出聯(lián)等三個(gè)大的類別，以下分別對(duì)三類流量的檢測(cè)做相應(yīng)介紹。

1、滲透階段

在滲透過程中，加密流量多來自對(duì)暴露在公網(wǎng)上資產(chǎn)的掃描探測(cè)與暴力破解。這部分涉及到的主流加密協(xié)議主要有HTTPS(TLS)、RDP、SSH等，一套可行的方法是通過計(jì)算TLS、RDP、SSH等協(xié)議中每一組IP對(duì)在一個(gè)時(shí)間區(qū)間內(nèi)時(shí)間與空間分布的平均值、標(biāo)準(zhǔn)差等屬性，結(jié)合特定數(shù)學(xué)模型進(jìn)行驗(yàn)證，初步判斷這些流量在行為特征上是否可能存在漏洞掃描、暴力破解等攻擊行為。行為符合的流量作為可疑流量，再結(jié)合事先搜集、研究、整理得到的工具靜態(tài)特征、協(xié)議指紋進(jìn)行二次判斷，確定此次是否為攻擊與攻擊使用工具的具體的家族信息。以下分別進(jìn)行舉例：

· TLS掃描檢測(cè)

利用“魚骨圖”進(jìn)行分析，攻擊總數(shù)為95次，頻率為8次/分鐘，多次會(huì)話中上下行載荷基本相似，最終檢測(cè)攻擊類型為掃描，威脅標(biāo)簽為skipfish2.10b_kali2018_32。

· RDP暴力破解檢測(cè)

攻擊總數(shù)：1312，攻擊頻率：43次/分鐘，威脅標(biāo)簽：hydra，攻擊類型：暴力破解。

2、后滲透階段

在滲透階段getshell之后，會(huì)有一系列持久化預(yù)置的動(dòng)作，例如上傳Webshell、正向代理等后門，從不解密加密流量檢測(cè)的視角看，這一類問題的本質(zhì)都是對(duì)Web服務(wù)等業(yè)務(wù)主機(jī)不合常規(guī)的訪問，所以涉及的加密協(xié)議也以HTTPS(TLS)為主，我們的檢測(cè)技術(shù)會(huì)圍繞行為模型來設(shè)計(jì)：針對(duì)各種Webshell、正向代理進(jìn)行深入研究，通過研究其業(yè)務(wù)特點(diǎn)總結(jié)流量特征，對(duì)目標(biāo)為Web服務(wù)的多條TLS流中存在的多次會(huì)話進(jìn)行切割比對(duì)，從流量的時(shí)空特征的角度入手來對(duì)會(huì)話做區(qū)分，分出哪些是以傳輸、響應(yīng)指令為主的流量，哪些是正常的訪問瀏覽，最后把認(rèn)為不正常的這類流量再在現(xiàn)有的知識(shí)庫中做對(duì)比以識(shí)別出真正的Webshell、正向代理類流量及其相關(guān)信息。

· 冰蝎加密流量檢測(cè)

利用“魚骨圖”進(jìn)行分析，握手模型評(píng)分：1，握手多處屬性異常，單流行為模型評(píng)分：1，證書模型評(píng)分：0.66。系統(tǒng)綜合決策評(píng)分：0.9，威脅類型：冰蝎3。

1、滲透階段

橫向滲透階段，主要為已經(jīng)進(jìn)入內(nèi)網(wǎng)后針對(duì)內(nèi)網(wǎng)資產(chǎn)加密服務(wù)的掃描探測(cè)等，與入聯(lián)階段大部分相同，檢測(cè)思路類似，但是由于內(nèi)網(wǎng)滲透使用的工具與外網(wǎng)滲透有所不同，并且內(nèi)網(wǎng)中的網(wǎng)絡(luò)環(huán)境更為復(fù)雜，很可能有許多行為與掃描暴破類似的正常業(yè)務(wù)流量，所以要在二次判斷上更加嚴(yán)格，否則就會(huì)產(chǎn)生海量誤報(bào)。

· SSH暴力破解檢測(cè)

SSH暴力破解魚骨圖 威脅標(biāo)簽：paramiko_2.6.0(成功)，攻擊類型：暴力破解，攻擊總數(shù)：691，攻擊頻率：49次/分鐘。

1、加密遠(yuǎn)控木馬

一次完整的攻擊很大概率會(huì)以最終的遠(yuǎn)控木馬上線進(jìn)行收尾，而在加密流量的領(lǐng)域，傳統(tǒng)方法使用的字符串特征與各種匹配規(guī)則都不再奏效，而且與滲透階段使用的工具類型比較集中完全相反，遠(yuǎn)控木馬的種類極多，可以說是千變?nèi)f化各不相同。很難做到獲得大多數(shù)家族的特征，且本身這個(gè)所謂的特征大部分時(shí)候人眼看不出來，所以我們選擇了人工智能機(jī)器學(xué)習(xí)為主結(jié)合特征、行為和指紋的綜合決策方法來解決這個(gè)問題。以TLS協(xié)議為例子，我們將一條TLS流按握手、證書、域名、流行為等維度拆成了不同部分，每個(gè)部分單獨(dú)訓(xùn)練模型，在學(xué)習(xí)了海量黑流量后最終得出一套多模型方案，其可以通過對(duì)TLS等標(biāo)準(zhǔn)協(xié)議的加密流量在握手、證書、流行為等維度進(jìn)行分析，判斷流量的黑白，再在此基礎(chǔ)上與限定域指紋技術(shù)、多流行為模型等輔助方法有機(jī)結(jié)合判斷家族，最終達(dá)到有效對(duì)各種使用了標(biāo)準(zhǔn)加密協(xié)議手段的木馬通信做出報(bào)警的目的。

· Cobalt Strike TLS加密流量檢測(cè)

TLS木馬回聯(lián)魚骨圖，威脅類型：Cobalt Strike(Beacon)，綜合決策評(píng)分：1，握手模型評(píng)分：1，握手多處屬性異常，單流行為模型評(píng)分：1，證書模型評(píng)分：0.91，會(huì)話完整度：7（缺少SNI）。

2、加密隱蔽隧道

此處加密隱蔽隧道特指依托于不以加密通信為設(shè)計(jì)目的的常見標(biāo)準(zhǔn)協(xié)議之上，并自行設(shè)計(jì)加密方式通信的技術(shù)，嚴(yán)格來講這種流量會(huì)出現(xiàn)在各個(gè)階段，我們暫且放在出聯(lián)威脅來講。隱蔽隧道可能依托的協(xié)議分布于網(wǎng)絡(luò)層、傳輸層、應(yīng)用層等各個(gè)層面，設(shè)計(jì)協(xié)議也很廣，常見的有TCP、UDP、HTTP、ICMP、DNS等協(xié)議。不論是對(duì)于ICMP、DNS這類在協(xié)議本身一些特性上進(jìn)行設(shè)計(jì)意圖之外的構(gòu)造與利用而達(dá)到隱蔽通信目的的協(xié)議，還是TCP、UDP、HTTP這類只要把數(shù)據(jù)放在載荷中傳輸即可的協(xié)議，都可以先通過信息熵、01頻次等算法確定數(shù)據(jù)是否加密來縮小范圍，篩選出待檢測(cè)流。再針對(duì)自行設(shè)計(jì)加密的隧道流量載荷中必定存在自定義結(jié)構(gòu)的弱點(diǎn)，來設(shè)計(jì)一類一法對(duì)其做出檢測(cè)。

· Cobalt Strike DNS隱蔽隧道流量檢測(cè)

DNS隱蔽隧道檢測(cè)魚骨圖，威脅類型：Cobalt Strike，綜合決策評(píng)分：1，請(qǐng)求次數(shù)：43416，請(qǐng)求頻率：142次/分鐘，A類型請(qǐng)求占比43392條，TXT類型請(qǐng)求占比24。

綜上所述，我們綜合利用多模型機(jī)器學(xué)習(xí)、指紋檢測(cè)、特征檢測(cè)、行為檢測(cè)、統(tǒng)計(jì)檢測(cè)等方法，對(duì)各種不同類型的加密流量進(jìn)行有針對(duì)性的檢測(cè)，在實(shí)戰(zhàn)中對(duì)各類加密威脅、黑客工具等流量達(dá)成了較好的檢出效果。檢測(cè)技術(shù)簡(jiǎn)要架構(gòu)如下圖所示：

在上述檢測(cè)方法中，都涉及到對(duì)攻防演練場(chǎng)景下大量黑客工具、木馬等惡意軟件本身的分析與特征規(guī)律的研究整理，這本身就是加密流量檢測(cè)中除檢測(cè)思路之外最重要也是最艱巨的步驟。攻防演練場(chǎng)景下加密流量增加的趨勢(shì)不會(huì)改變，目前針對(duì)各類標(biāo)準(zhǔn)或非標(biāo)準(zhǔn)加密流量，我們進(jìn)行了系統(tǒng)化對(duì)抗檢測(cè)。未來會(huì)繼續(xù)保持跟蹤研究。