[TOC]
工作内容
工作内容可以分为两大块:
- 写snort
- 分析僵尸网络
snort
snort作为每周的固定工作有相对完善的自动化脚本和工作流程,除了枯燥之外速度上还是很快的,截至8.24,我已经提取了120多条有意义的规则和40多条筛选绿色流量包的规则,总计筛选pcap约有11000个。辅助数据整理py脚本5个,爬虫脚本2个。审查snort规则不好统计,反正一周平均100个左右。
因为主客观因素我对我提取的规则并不自信,我并不认为是高质量的规则,即使能命中恶意流量,也不一定能准确命名攻击来源。数据来源有三个,微步、vt、安恒威胁中心(不得不说,安恒的这方面做的真好,上一个实习的时候也是爬的他家的平台)。
通过snort规则,极大的帮助我补充了大鲨鱼的使用方式和实际有用的计算机网络的知识,这可比啃计算机网络那本书快多了,而且都是实际的真东西,学会走之前要先跑起来。这是非常难得的机会,因为在学校我肯定不会去干这些事,也没有平台去获得去测试。同时对威胁平台的操作更加熟练了,真切的使用到了平台的一些功能,而不仅仅是看一眼行为就拉倒。
僵尸网络
这是中前期出现的新任务,前期的任务就是提取规则,僵尸网络的出现极大的改善了我的工作心态。截至8.24,分析僵尸网络5个,boat、gang123、andoryu、Muhstik、ntp这些,为了能够更顺利的分析样本,我花了大半个月完整阅读了mirai的源码,深受启发,发现天下样本一大抄,很少有自研的东西在里面。其中很高兴能协助发现gang123这个新家族,虽然他很小,但是小也很可爱啊。
样本都是新的,这就更有意思了,在学校个人很难拿到新的样本,获得的样本基本都是后端关闭或者已经过时的了,依托沙箱拿到新样本的感觉确实很爽,真正抓到后端发来的攻击指令,也很有成就感,去登录C2的服务器确实很爽。这让我的分析技术不仅仅是停留在了本地,更全方位的提高了我的分析技术。这是我个人很难做到的。
分析样本的过程中,我的分析能力也得到了提高,同时针对linux平台下的分析技术也有了长进,了解学习了linux下的一些新的调试工具的使用,比如edb等,真正学会了怎么使用ida远程调试去脱压缩壳,以及更加完善的分析流程和分析方法。接触到了fakenet这个火眼开发的工具,本地伪造网络信息,让分析过程变得更加方便,即使后端死了,那又何妨,这个工具是我最大的收获之一。总结出来的僵尸网络的分析流程:
- 新样本本地算hash去搜hash,有些新样本先内部消化完再往公共平台上发
- 先找C2测试存活,尝试获得更多关联样本
- vt的关联功能真好用,尽力关联到更多的信息和C2,看看有没有活的
- 利用公寓的电脑扫C2,看看开放了什么服务
- 同组样本、历史样本对照分析,攻击函数反推指令功能,动调的时候挂上抓包。
- 重点在于通信、攻击方式、关联其他组织家族等等。
- 写报告、改报告。
同时也根据兵哥修改的报告学习了在企业中的分析报告的侧重点和关键点。把报告写的像wp那样并不合适,详略得当才是真有技术。还需要练习如何剔出重点和大家关注的地方。
通过家族的攻击样本,可以窥见家族的开发水平,有些家族的开发水平真不咋地。有些却非常巧妙,除了分析样本,学习样本中的攻击手法、隐藏手法也是巨大的收获,学到了很多之前不曾了解的知识,比如修改本身进程名称,进程伪装,linux下的夺舍,喂狗行为,socks通信等等之前听说过的和没听说过的都趁着机会学习了一番,还有曾经觉得很神秘的ddos一直觉得需要专门的工具流程,现在终于明白了他的原理,其实就是基本的while套send,通过僵尸网络学习到了很多听说过但是并没有学习的知识,收获颇丰。
总的来说我认为我的样本分析报告还是比提取的规则要好的,但是在叙述上还是不尽如人意,以及一些功能的分析并不透彻。我试图去搞清楚他每一个攻击的实现原理,但是因为种种原因,有的清楚了,有的还不是那么清楚。
总结
做好了打持久战的准备,但是发现秋招比较紧张,有点出乎意料,只好先跑一步血亏房租押金。
合适的工作比填鸭式的上学更能学到东西。在学校中主要在学习的方向是Windows平台的分析还有一些攻击、免杀的一些方面。也是停留在本地的分析上。
在这段时间中的工作内容主要是snort规则提取,和僵尸网络的分析。在面试的时候,面试官给我说去了解一下sigma规则,工作会用到,来的时候学会了yara和sigma,但是工作内容是snort,还是比较有挑战性的,需要现学。
僵尸网络主要作用环境是linux,主要架构也是arm和misp居多,在学校不打pwn之后,就很少接触到linux环境了。
总的来说这次实习的工作内容是对我技术栈的一次查漏补缺,补齐了linux下的分析技术和网络层这块短板,同时也学到了很多耳熟能详但是没有深入了解的攻击技术,还有很多很有意思的攻击方式。
分析新鲜的、真实的、有明确目的的攻击样本,这种体验很奇妙,这是最接近网络安全攻击的任务,虽然在电脑前面、但是还是很刺激。
我一直都是认为样本分析不仅仅是要做逆向,出报告,更重要的是从各种攻击样本中学习他们的攻击手法,读书是和作者交流,分析样本也是一样,直接从样本中学习攻击方式,通过修改ida提取的代码让他可以跑起来,我认为这是最快的学习方式,而且人家代码都给你了,还有claude、gpt这些帮手。不像视频网课还要去qq群去百度云下,这次工作经历更加印证了我的这个想法。