Feed威胁情报系统
https://feed.watcherlab.com
YARA和Suricata规则下载
https://feed.watcherlab.com/rules/
潜在威胁
根据我们对一些典型安全事件的分析,部分木马采用了HTTPS协议进行加密传输,以防范流量监测系统发现其行为或传输的内容。针对此种攻击,可以通过流量分析,提取HTTPS加密通讯时所使用的数字证书,结合黑证书指纹信息、证书过期信息,发现木马传输的隐蔽行为。以下主要演示通过suricata规则监测流量中的异常证书。
模拟实例
● 首先搭建一个网站,并为其颁布SSL/TLS证书
● 证书信息
访问测试网址,浏览器端获取到网址的证书,查看证书的序列号、SHA1指纹、证书是否过期等信息。
● Suricata规则
● 启动Suricata
命令
● 再次访问测试网址
在另一个终端查看日志信息
在证书未过期之前,能识别证书的序列号和SHA1指纹,并且打印证书有效,日志信息如图
证书过期之后,再次访问,不会再打印证书有效,打印的是证书无效,日志信息如图
小结
事实证明,我们需要不断扩充黑证书的信息库并生成相应的Suricata过滤规则,为日志分析奠定基础。
END
领取专属 10元无门槛券
私享最新 技术干货