通过网络流量分析检测APT活动

翻译来源：https://www.scnsoft.com/blog/detecting-apt-activity-with-network-traffic-analysis

高级的持续威胁持续扩大了征服的地理位置，目标不仅是大型组织，还有小型企业。作为这一现象的一个指标，APT保护市场继续增长。根据Radicati 组织的报告，APT保护解决方案的年收入将在2021年达到75亿美元。

对于及时的APT检测，公司应该采用诸如SIEM解决方案、IPS/IDS系统、反病毒、防火墙和网络流量分析等多种方法。后者被认为是一个强制元素的ＡＰＴ保护,它的基本任务是区分合法和非法的流量。这可以通过一系列方法来完成，这些方法在其应用程序中是不同的。

本文介绍了网络流量分析在APT攻击对抗中的作用。

一、与C&C服务器的恶意软件通信:如何识别?

１.1检查IP地址

通过渗透网络，恶意软件与一个命令和控制(C&C)服务器通信。在IP地址黑名单的帮助下，可以识别这种通信。许多信息安全资源(例如，IBM X-Force)在internet上发布僵尸网络IP地址的范围。检查在你的网络中是否有来自C&C黑名单的IP地址的可疑通信。

１.2注意IRC和P2P签名。

僵尸网络使用某些协议进行通信。协议类型是僵尸网络分类的标准:

IRC(互联网中继聊天)协议的第一代，

P2P(对等点)基于协议的第二代，

HTTPS(超文本传输协议安全)基于协议的第三代，最先进的和难以识别的僵尸网络生成，由于通信加密。

一些SIEM系统有集成的组件(例如，IBM QRadar QFlow Collector)，它分析网络数据包并识别IRC和P2P签名。

１.３使用行为分析

三向量网络行为分析包括流量模式分析、系统活动分析和沙箱。在本文中，我们将集中讨论流量模式分析。

SIEM系统建立了网络流量的基线，反映了主要网络服务器的正常通信模式。任何与流量模式的偏离都是一个警告信号，而SIEM系统则会产生防御。

二、选择流量模式分析

流量模式分析广泛适用于以下目的:

２.1探测未知的威胁

在各种威胁检测技术中，流量模式分析被证明是最有效的工具，可以用来检测未知的威胁(又称为零日漏洞)。通常，安全管理员为其本地网络中的每个服务器配置IPs的范围。当服务器在这个范围之外启动通信时，它可能是一个信号，表明未知的IP地址属于一个僵尸网络。

零日漏洞探测的成功与否很大程度上取决于安全软件对已知APTs的识别方法进行推断的能力。通常情况下，恶意软件至少可以做到以下一种:在网络中传播，感染文件，隐藏自己，从受影响的环境中传输数据，与C&C通信，并利用多态技术。因此，恶意软件在功能上有所不同，但它有一些共同的特征，可以在零日恶意软件中找到。

2.2检测内部C&C服务器。

僵尸网络可以在私有网络中进行组织。放置在外围，网络防御无法检测可疑的流量，因为通信在内部发生。在这种情况下，我们不能使用外部IP地址标识，因为没有与外部服务器的通信。

SIEM系统从网络交换机获取内部通信的信息。为了注意到内部网络流量基线的偏差，安全管理员采用了流量模式分析。另一种识别与内部C&C服务器连接的方法是第7层应用程序流量分析。它包括网络数据包的签名和有效负载分析。如果检测到私有网络策略禁止的IRC或P2P通信，它可能表明有人组织了一个内部僵尸网络。

２.３检测与可信源的恶意软件通信。

一个典型的例子是木马恶意软件通信，当恶意数据被认为是可信的来源伪装成合法的沟通和渗透到你的网络。以特洛伊为例。有针对性的Gmail攻击，电子邮件从欺骗的电子邮件地址有恶意PDF附件。这个PDF文件利用了adobereader漏洞，将恶意软件注入目标系统，并修改了Internet Explorer浏览器。每次打开web浏览器，恶意软件就会登录到Gmail帐户。在这种情况下，在流量模式分析的帮助下，安全管理员可以观察到电子邮件主机的网络流量峰值，这是进一步进行网络检查的起点。

２.４通过HTTPS检测恶意软件通信

正如上面所提到的，由于协议加密的原因，HTTPS代“僵尸网络”的是最先进的。今天，如果没有解密密钥，就很难解密HTTPS。然而，即使在HTTPS通信的情况下，我们也可以采用流量模式分析。基于流量模式，它允许在一定的时间范围内识别交通偏差，以及估计流量和从一个IP地址的连接数。

３没有万能的治疗方法

由于对所有疾病都没有万能的治疗方法，所以没有一种万能的方法来对抗高级的持续威胁。网络流量分析(特别是流量模式分析)是一种有用的技术，但它不能保证100%的恶意软件检测。然而，有可能在信息安全顾问的帮助下最大化您的APT保护，他们将为特定的环境配置自定义的流量分析规则。