1、不尋常的出站網絡流量
也許最大的跡象就是不尋常的出站網絡流量。“常見的誤解是網絡內部的流量都是安全的,”AlgoSec公司高級安全戰略家Sam Erdheim表示,“查看離開網絡的可疑的流量,我們不僅要關注進入網絡的流量,而且還要注意出站流量。”對於現代攻擊,企業很難阻止攻擊者進入網絡,因此,企業更應該關注出站流量。NetIQ公司解決方案戰略主管Geoff Webb表示:“所以,最好的辦法是檢查網絡內部的活動,以及檢查離開網絡的流量。受攻擊的系統通常會呼叫命令控制服務器,你可以密切關注這種流量,以阻止攻擊。”
2、特權用戶賬戶活動異常
在精心策劃的攻擊中,攻擊者要麼提升他們已經攻擊的賬戶的權限,要麼使用攻擊的賬戶進入更高權限的其他賬戶。從特權賬戶查看不尋常的賬戶行為不僅能夠發現內部攻擊,而且還可以發現賬戶被控制。Webb表示,“特權用戶行為的變化可能表明其他人正在使用該賬戶來攻擊你的網絡,企業應該關注賬戶變化,例如活動時間、訪問的系統,訪問的信息的類型或數量。”
3、地理異常
無論是否是通過特權賬戶,登錄和訪問中的地理異常也可以表明攻擊者正在試圖從很遠的地方進行攻擊。例如,企業發現正在與沒有業務往來的國家之間的流量往來時,應該進行調查。ThreatTrack Security公司安全內容管理主管Dodi Glenn表示,同時,當賬戶在短時間內從世界各地不同IP登錄,這可能是攻擊的跡象。
4、登錄異常和失敗
登錄異常和失敗可以提供很好的線索來發現攻擊者對網絡和系統的探測。Beachhead Solutions公司產品專家Scott Pierson表示,多次登錄失敗也可能標志著攻擊的發生,檢查使用不存在的用戶賬戶的登錄,這通常表明有人試圖猜測用戶的賬戶信息以及獲得身份驗證。同樣的,在下班時間嘗試獲得成功登錄也可能表明,這不是真正的員工在訪問數據。企業應該對此進行調查。
5、數據庫讀取量激增
當攻擊者入侵企業並試圖滲出信息時,你可能會發現數據存儲中的變化。其中之一就是數據庫讀取量激增。瞻博網絡首席軟件架構師Kyle Adams表示:“當攻擊者試圖提取完整的信用卡數據時,他會產生巨大的讀取量,這肯恩比你通常看到的信用卡讀取高出很多。”
6、HTML響應大小
Adams還表示,如果攻擊者使用SQL注入來通過web應用程序提取數據的話,攻擊者發出的請求通常會包含比正常請求更大的HTML響應。他表示:“例如,如果攻擊者提取全部的信用卡數據庫,那麼,對攻擊者的單個響應可能會是20MB到50MB,而正常響應是200KB。”
7、大量對相同文件的請求
攻擊者需要進行大量的試驗和犯錯才能發動攻擊,他們需要嘗試不同的漏洞利用來找到一個入口。當他們發現某個漏洞利用可能會成功時,他們通常會使用不同的排列組合來啟動它。Adams表示,“因此,他們攻擊的URL可能在每個請求上會有所改變,但實際的文件名部分可能會保持不變,你可能會看到單個用戶或IP對‘join.php’進行500次請求,而正常情況下,單個IP或用戶最多只會請求幾次。”
8、不匹配的端口應用流量
攻擊者經常利用模糊的端口來繞過更簡單的web過濾技術。所以,當應用程序使用不尋常的端口時,這可能表明命令控制流量正在偽裝成“正常”的應用程序行為。Rook Consulting公司SOC分析師Tom Gorup表示,“我們可能會發現受感染的主機發送命令控制通信到端口80,它們偽裝成DNS請求,乍一看,這些請求可能像是標准DNS查詢;然而,你仔細看的話,你會發現這些流量通過非標准的端口。”
9、可疑的注冊表或系統文件的更改
惡意軟件編寫者在受感染主機內保持長期存在的方法之一是通過注冊表的更改。當應對基於注冊表的IOC時,創建基線是最重要的部分,Gorup表示,“定義正常的注冊表應該包含的內容,這基本上創建了一個過濾器。監測和警報偏離正常模板的變更,將提高安全團隊的響應時間。”同樣地,很多攻擊者可能會留下跡象表明,他們已經篡改了主機的系統文件和配置,企業可以通過查看這些變化來快速發現受感染系統。他表示,“可能發生的情況是,攻擊者將安裝數據包嗅探軟件來獲取信用卡數據,攻擊者會瞄准可以查看網絡流量的系統,然後安裝這種工具。雖然捕捉這種攻擊的機會很渺茫(因為它們非常具有針對性,可能以前沒有見到過),但企業可以發現系統的變更。”
10、DNS請求異常
根據Palo Alto公司高級安全分析師Wade Williamson表示,企業應該查看的最有效的攻擊跡象是,惡意DNS請求留下的告密者模式。他表示,“命令控制流量通常對於攻擊者是最重要的流量,因為它允許他們持續管理攻擊,並且,他們需要保護這種流量,以確保安全專家不會輕易發現,企業應該識別這種流量的獨特模式,因為它能夠用來發現攻擊活動。”他表示,“當來自特定主機的DNS請求明顯增加時,這可能表明潛在的可疑行為,查看到外部主機的DNS請求模式,將其與地理IP和聲譽數據對照,並不熟適當的過濾,可以幫助緩解通過DNS的命令控制。”
11、莫名其妙的系統漏洞修復
系統修復通常是好事情,但如果系統突然毫無征兆地進行修復,這可能表明攻擊者正在鎖定系統,使其他攻擊者不能使用它來進行其他犯罪活動。“大多數攻擊者試圖利用你的數據來賺錢,他們當然不希望與其他人分享勝利果實,”Webb表示。
12、移動設備配置文件變更
隨著攻擊者轉移到移動平台,企業應該關注移動用戶的設備配置中的不尋常的變更。他們還應該查看正常應用程序的變更,更換成可能攜帶中間人攻擊或者誘使用戶洩露其登陸憑證的程序。Marble Security公司創始人兼首席信息官Dave Jevans表示,“如果托管移動設備獲得一個新的配置文件,而不是由企業提供的,這可能表明用戶的設備以及其企業登陸憑證受到感染,這些配置文件可能通過釣魚攻擊或者魚叉式釣魚攻擊被安裝在移動設備上。”
13、數據位於錯誤的位置
根據EventTracker的Ananth表示,攻擊者通常在嘗試滲出之前,會將數據放在系統的收集點。如果你突然看到千兆級信息和數據位於錯誤的位置,並且以你們公司沒有使用的壓縮格式,這就表明攻擊的存在。通常情況下,當文件位於不尋常的位置時,企業應該進行嚴格審查,因為這可能表明即將發生數據洩露事故。HBGary公司威脅情報主管Matthew Standart表示:“在奇怪位置的文件,例如回收站的根文件夾內,很難通過Windows發現,但這些可以通過精心制作的指示器來查找。”
14、非人類行為的web流量
Blue Coat公司威脅研究主管Andrew Brandt表示,與正常人類行為不匹配的web流量不應該通過嗅探測試。他表示,“你在什麼情況下會同時打開不同網站的20個或者30個浏覽器窗口?感染了不同點擊欺詐惡意軟件的計算機可能會在短時間內產生大量Web流量。例如,在具有鎖定軟件政策的企業網絡中,每個人都只能使用一種浏覽器類型,分析師可能會發現這樣的web會話,用戶代理字符顯示用戶在使用企業不允許的浏覽器類型,或者甚至不存在的版本。”
15、DDoS攻擊活動的跡象
分布式拒絕服務攻擊(DDoS)經常被攻擊者用作煙霧彈來掩飾其他更惡劣的攻擊。如果企業發現DDoS的跡象,例如緩慢的網絡性能、無法使用網站、防火牆故障轉移或者後端系統莫名其妙地以最大容量運行,他們不應該只是擔心這些表面的問題。Corero Network Security公司首席執行官Ashley Stephenson表示,“除了超負荷主流服務外,DDoS攻擊通常還會‘壓垮’安全報告系統,例如IPS/IDS或者SIEM解決方案,這可以讓攻擊者植入惡意軟件或竊取敏感數據。因此,任何DDoS攻擊都應該被視為相關數據洩露活動的跡象。”