目前美国DHS发布紧急指令以对抗DNS劫持威胁,英国网络安全机构调查DNS劫持事件,DNS劫持面临全球化的危胁问题。
目前TCP劫持利用漏洞进行嗅探、欺骗等技术在内的攻击手段越来越流行例如,在一次正常的会话过程当中,攻击者作为第三方参与到其中,他可以在正常数据包中插入恶意数据,也可以在双方的会话当中进行监听,甚至可以是代替某一方主机接管会话。
神州网云-网镜高级威胁检测系统“恶意行为”下的“TCP劫持”,如下图:
主页面如下图:
下面介绍表格中的操作,在表格中“下载文件”有相关操作。
- 下载文件:点击列里面的“下载PACP”可以下载该条记录的pcap包。
- 下载文件:点击列里面的“协议内容”可以下载还原后的协议内容。
- 按跳转后的主机展示:点击按跳转后的主机名展示,进入按跳转后的主机名展示界面。
- 点击导出CSV,HTML导出数据到相应格式文件。
- +报警记录状态设置,可以选中某一条或者几条告警信息信息,点击+报警记录状态,填写相关内容后保存,可以在恶意行为-报警记录中查看该保存记录。
1.1 网络数据包导入
TCP劫持检测工具为使用者提供了方便快捷的网络数据包导入功能,使用者可以将通过wireshark、winpcap、TCP dump、libpcap等抓包工具抓取并保存的网络数据包导入高速到系统进行分析。再导入过程中,系统会自动过滤掉已损坏或不符合规则的网络数据包,从而确保导入的数据源合规、可用。TCP劫持检测工具在进行数据包导入的过程中能够实时显示导入进度,方便用户查看系统当前工作状态,且导入的数据量不受限制。
1.2 精确TCP劫持行为告警
TCP劫持检测工具将以窃取机密信息为目的的劫持行为进行精确告警,用户通过精确TCP劫持行为告警模块可以有效定位用户关心具有针对性会话的劫持。使用者可以就某次特定的劫持行为进行数据包下载,保存到指定位置方便用户进一步分析取证所用。此外,在分析完成之后,用户也可以通过特定方法将存在精确TCP劫持行为的全部数据包进行转存,方便进行进一步分析取证之用。
1.3 灰名单劫持行为告警
TCP劫持检测工具将以确定存在劫持行为,但该类劫持不是以窃取机密信息为目的的劫持行为定义为灰名单劫持。系统将灰名单劫持作为单独模块进行告警。系统同样提供针对单一特定的劫持活动的数据包进行下载,以及全部的灰名单劫持告警的数据包进行转存,方便进一步分析取证之用。
1.4 疑似劫持行为告警
TCP劫持检测工具将具备TCP劫持行为的部分行为特征的网络活动数据包定义为疑似劫持行为。系统将疑似劫持作为单独模块进行告警,为使用者从大量的疑似数据包中进行进一步分析及线索拓展提供支持。系统针对疑似劫持行为告警的数据包同样提供针对单一特定的活动的数据包进行下载,以及全部的疑似劫持行为告警的数据包进行转存,方便进一步分析取证之用。
案例分析:
工作中发现某节点有大量的TCP劫持的行为。而且劫持的数据量非常庞大,基本上一个小时内会有一到两万条数据包被劫持。
把部分被劫持的数据包下载回来进行分析。可以从下图这个会话看到,10.10.12.68这台内网机器所访问的地址是windows官方的一个更新的网址(域名所指向的IP为 **.62.**.**)。
从以下截图可以清楚的看到,10.10.12.68这台内网机器所想要访问的地址为:
而实际上却被重定向到以下这个地址:http://103.*.*.*:80/videoplayer/windows-kb890830-v5.7_034e93eb874d772912ac02c0d62c0aab0f82de45.exe?ich_u_r_i=6902d5d7775e145d2e434021cf510b70&ich_s_t_a_r_t=0&ich_e_n_d=0&ich_k_e_y=1345128911750963342411&ich_t_y_p_e=1&ich_d_i_s_k_i_d=5&ich_u_n_i_t=1
以下的数据包和上面的包类似,10.10.10.117这台内网电脑所希望访问的是腾讯的官网来下载软件,同样被劫持重定向到http://103.*.*.*:80/videoplayer/目录下,并在此目录里下载程序。而此动作计算机的使用者却毫不知情。
对报警保存的的多个数据包进行分析,发现其他的也一样,包括从微软官方网站下载补丁、从腾讯官网下载软件等很多网络访问,都会被劫持到http://103.*.*.*:80/videoplayer/这个目录下。而且这个劫持动作非常隐蔽,单位内的工作人员无法发现这个劫持行为。
如果此次劫持行为是某些人有目的的攻击行为,那么对目标单位会造成无法估量的严重后果,有可能会导致目标单位内部的重要数据泄漏、文件丢失、重点计算机被攻击者完全控制。