一文带你识别态势感知平台流量

态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。

相对于网络上态势感知的各种复杂概念来说，相关工作人员接触到的一般只是一个态势感知平台，所要做的事情就是监控探针从物理机备份的流量，检查是否有攻击行为，之后传输给上级，进行进一步确定，以及最后的处置。

在检测流量的过程中，具体的攻击行为大致分为几种。

弱口令攻击

当接受到的请求包在username,password等流量中含有admin,root,123456等关键词使，态势感知平台可能会发出弱口令警告。

需要注意的是，并非平台所有显示的警告都是攻击行为，平台也可能会发出误报。

当平台告警弱口令时，我们此时就要进行弱口令告警分析。

无论成功的弱口令是否复杂，统一称为弱口令。

如何进行弱口令告警分析

1、判断此条弱口令是否可以成功登录

查看请求包中的HOST地址和用户名密码，到被攻击网站输入相应用户名密码进行判断。

2、验证登录IP是否为客户自己的IP

如果攻击者的IP属于客户的IP，此时可能是已经有客户机失陷。

3、根据日志查询登录IP是否存在web爆破行为

进行弱口令攻击一般都是使用爆破工具进行高频的爆破，可以根据这点判断是否是恶意攻击行为。

4、爆破行为是否成功，如果成功，成功的用户名和密码是什么

爆破是否成功可以根据返回包的响应体的内容判断，如果成功，根据第一条内容排查。

5、攻击者IP的其他攻击行为。

善用平台的模糊搜索功能检索攻击者IP的其他访问流量。

6、将发现时间及详细攻击行为反馈给客户。

发现攻击行为必须及时汇报，以免造成不可挽回的损失。有时一个无意忽略的流量包就有可能造成服务器大面积失陷。

SQL注入验证分析

当接受到的请求包在流量中含有select,updatexml等数据库操作语句的关键次时，态势感知平台可能会发出SQL注入警告。

传感器上出现SQL注入告警，怎么应对?

1、验证此条SQL注入告警是否真的存在SQL注入漏洞?

数据包中可能会有几个不同的变量在解析时意外组成select等关键词，此时可能会发出SQL注入告警的误报。

2、触发告警的行为是客户自身还是攻击者行为?(通过请求包数据判断)

通过请求包中的sql语句观察是正常的查询还是恶意注入，并且要注意发送者的IP。

请求中有构造的明显的恶意sql语句或者敏感字符
请求体User-Agent中可能出现sqlmap标识
回显包存在sql查询结果（此刻就代表已经注入成功了）

3、若为自身业务问题，则将漏洞点相关整合成报告反馈客户。

4、若为攻击者行为，则需要进行进一步分析，查看分析平台攻击IP除了SQL注入以外是否存在其他攻击行为，攻击结果如何?

5、将发现时间及攻击行为反馈给客户。

文件上传验证分析

如果发现文件上传，立即上报。

发现文件上传时要注意数据包中的filename，Content-type是非被修改过。

观察响应体中的返回内容是否上传成功。

分析上传数据包

1，上传常见字段: Content-Disposition，Filename等上传文件后缀为可执行文件后缀，

(“.php”OR“.phtml”OR“.asp”OR “er”OR“asa”OR“.cdx” OR“.htr” OR“.aspx” OR“.ashx”OR“.jisp”OR “.ispx”)

查询语句:data:”Content-Disposition” AND data:”filename” AND data:(“.php”OR”.phtml”OR “asp” OR “cer” OR “asa” RRhtr” OR”aspx”OR”ashx”OR”jsp”OR”jspx”)

命令执行

命令执行相较于其他漏洞较为特殊，危害极大且难以防御。

如果在工作中发现命令执行且成功，此时可能已经失陷。

命令执行一般都是攻击方进行的社工钓鱼或者0day，对于这种情况几乎无妨防御。

命令执行的payload一般都是打印，所以可以找print来寻找payload，一般数据包中会含有系统命令的存在。