基于ELK的勒索病毒WannaCry的自動發現原理

基于ELK的勒索病毒WannaCry的自動發現原理

基于鯤鵬芯片的TaiShan服務器部署流量采集器和ELK大數據分析平臺實現全流量的網絡協議分析捕捉TCP層的流量異常，再通過大數據分析精確判斷出勒索病毒的根源，最后用人工智能技術自動檢測勒索病毒。

一、平臺搭建

在基于鯤鵬芯片的TaiShan服務器搭建主要以iTAP(流量采集器)，iMAP（ELK大數據分析平臺）為核心的全流量大數據分析平臺。網絡流量數據通過iTAP以40Gbps/s高速接收處理分析網絡報文后直接匯聚到Kafka。數據匯聚總線以Kafka為核心，通過消費者導入到ElasticSearch集群的iMAP大數據分析存儲平臺,最后通過Kibana進行Web端的可視化展現。通過對流量的實時采集，利用基于機器學習技術的告警引擎，對海量網絡數據進行關聯分析和實時告警。

圖 1?iTAP-iMAP部署示意圖

二、事件綜述

2017年5月WannaCry勒索病毒肆虐全球，利用“永恒之藍”傳播，使得眾多的學校、企業、政府機構的內網淪陷[1]。專家估計在全球造成損失總值約 80 億美元[2]。

近日，在某客戶的內網環境中，利用南京云利來開發的智能大數據分析平臺iMAP(intelligent Metadata Analytic Platform)發現了一個潛伏的WannaCry勒索病毒。 幸虧及時地發現，排除了大規模爆發的危險。

三、問題分析

1、發現異常

在對客戶的業務指標例行檢查時,發現TCP重傳率異常的高，長時間維持在60%以上的高位。通常來講，TCP重傳率如果這么高，網絡已經無法正常使用。

圖 2、TCP重傳率維持在60%以上

在iMAP平臺上可以做時間的橫向比較，與前一段時間的TCP連接個數對比：發現TCP連接數上漲了5倍。

圖 3、兩段時間的TCP連接數對比

iMAP收集的元數據是由iTAP（intelligent TAP）提供的。iTAP的網絡協議元數據分析是針對每一條流的，可以捕捉TCP的任何異常狀態（圖3右側列出的多種TCP狀態）。 分析發現其中270多萬次TCP連接是以第一次握手超時結束。

圖 4、大量TCP連接以第一次握手超時結束

由此判斷，造成TCP連接重傳率過高的原因并不是網絡故障，而是大量的以第一次握手超時結束的異常TCP連接。此時猜測，是內部存在的機器在進行類似DOS的攻擊。

2、深入調查

此時利用iMAP平臺自帶的分析工具，深入調查發現，在270多萬異常鏈接中， IP地址為172.31.0.20的一臺內網機器發起249萬多條TCP連接，其平均重傳率高達66.62%。具體分析步驟如下：

a)對sip（源IP地址）進行分類聚合；

b)計算每個IP的平均重傳率以及TCP連接個數；

c)根據TCP連接個數進行排序。

圖 5、聚合結果

針對IP為172.31.0.20的內網主機，再深入分析，發現其240萬次以上的TCP連接是以第一次握手超時結束。該主機的各種數據與發現的異常基本抿合，此時可以確認該主機正是引起此次異常的源頭。具體操作如下：

a)使用過濾條件，篩選出172.31.0.20主機的TCP記錄；

b)根據TCP結束狀態進行分類聚合;

c)計算每種結束狀態的連接數。

圖 6、172.31.0.20的TCP連接結束狀態聚合結果

再進行下鉆分析：針對172.31.0.20，聚合域為dport（目標端口號），可以發現：240萬次以上的TCP連接的目標端口號為445。

圖 7、172.31.0.20的TCP連接目標端口聚合結果

445端口是一個很敏感的端口，主要被Windows用于局域網文件共享、打印機共享，同時亦常被惡意軟件用作局域網病毒傳播。當產生大量目標端口445的TCP連接，很有可能該主機是被利用來使用“永恒之藍”攻擊程序對隨機目標進行攻擊。

3、驗證猜測

最大規模利用“永恒之藍”進行傳播的病毒正是WannaCry，而“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”是該病毒的開關域名。當該域名能訪問時，則不開始勒索行為[1]。

查找歷史記錄，發現172.31.0.20該主機確實成功通過http訪問過WannaCry的開關域名（狀態碼status為200）。

圖 8、172.31.0.20成功訪問WannaCry開關域名

至此，已經可以完全確定該主機是感染了WannaCry病毒。但由于開關域名能被成功訪問，所以病毒并沒有執行文件加密、勒索等操作，但一直進行病毒傳播行為。[1]

隨后，在客戶網絡運維團隊協助下，登入該主機，發現了產生大量445端口的TCP連接的進程為名叫mssecsvc2.0的服務項，用于網絡傳播。同時發現C:\\Windows目錄下有mssecsvc.exe與tasksche.exe兩個可執行文件，分別為WannaCry的主程序與勒索程序。[3]

四、總結

根據以上分析， 我們可以生成一條WannaCry規則刻畫勒索病毒的行為，從而形成對此類病毒的自動檢測。我們提供了基于SQL文法的規則開發環境，方便規則庫的開發和維護[4]。

iTAP+iMAP提供了一個實時地全方位的網絡安全保護機制。這種基于并行處理、大數據分析和AI自學習技術的SIEM平臺可以為網絡安全法的實施提供技術保障，積極地為網絡監控和自動運維保駕護航。 他們的積極部署將成為網絡防御體系中不可缺少的重要一環。

參考文獻：

【1】唐錫南，"勒索病毒“永恒之藍”的防御策略",http://ido-net.net/id14_en.html，2017.05

【2】動點科技，"WannaCry勒索病毒或致80億美元損失", http://www.sohu.com/a/140929261_485557，2017.05

【3】安天安全研究與應急處理中心(Antiy CERT), “安天針對勒索蠕蟲“魔窟”（WannaCry）的深度分析報告”,http://www.antiy.com/response/wannacry.html,2017.05

【4】張立丹，“基于ES的SQL報警引擎”，http://ido-net.net/id17_en.html， 2017.11

鯤鵬 通用安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。