本文分享一些 IT 管理員可以積極實行的規則,好為網路建立「基本的防禦」。這裡說的”基本”是因為這些規則並非是為了涵蓋網路內所有類型的可疑活動 – 只是一些作者認為很可能被漏掉的活動。
偵測到使用非標準端口的服務
一般的協定都有預設的端口來讓應用程式或服務使用。一個執行某協定的服務卻沒有使用預設端口可以視為可疑 – 這是常被攻擊者利用的技術,因為預設端口通常都會被安全產品監控。同樣地,偵測未知協定使用標準服務端口也很重要,像是 80(HTTP)、25(SMTP)、21(FTP)、443(HTTPS)。因為有服務使用這些端口,所以IT管理員不能加以封鎖,所以就有可能被攻擊者利用來進行攻擊。由於每個企業的環境都有所不同,所以確認可以允許哪些端口就是IT管理員的工作,而且要密切地監視流過這些端口的流量,確保是預期中的正常流量。
除此之外,封鎖環境中所有未使用的端口也是個重要的做法。如同我們從以往關於針對性攻擊中後門程式所使用技術的研究裡學到,會使用的端口往往依賴於網路內允許哪些通過。限制網路中所打開的端口可以防止攻擊者加以濫用。像是攻擊者還可以利用網路中用來同步時間的網路時間協定(NTP)來發動分散式阻斷服務(DDoS)攻擊。
偵測名稱有可疑特徵的檔案
誘騙使用者打開惡意檔案的基本技巧之一是要變造檔案名稱讓目標認為自己所開啓的檔案並無害處。儘管很難單單靠著檔案名稱就確認一個檔案的性質,還是有幾個可疑的檔名特徵可以讓管理員加以注意:
- 檔案名稱中帶有太多空格
- 檔案名稱帶有兩個或以上的副檔名(尤其是當實際副檔名為可執行檔時)
- 檔案類型和副檔名並不匹配(例如:PE類型檔案的副檔名卻是「pif」,「bat」或是「cmd」等)
偵測 TOR節點憑證和 IP位 址範圍
我們已經看到有許多攻擊會利用TOR來匿名化他們的活動,好使自己難以被追查或讓網路流量不會被偵測,因為它是完全加密。在網路中看到這類活動(除非使用 TOR 是預期的行為)是惡意活動的重要指標,應該加以檢查。
偵測TOR流量最簡單的方法是透過TOR IP地址範圍黑名單。有些資源可以加以參考,像是Proxy.org所提供的列表。
偵測可疑的 HTTP 要求
看到重要資料(像是帳號資訊)以明碼方式出現在網路流量中非常可疑,因為這類資料幾乎都會是預設加密。看到這種狀況通常是當惡意軟體或攻擊者想要將他們自網路內系統所偷來的帳號詳細資料取出的時候。我們看過會這麼做的惡意軟體是資料竊取程式,像是SPYW_SATIFFE,TSPY_HCOREPWSTL,PWS.VB和HKTL_PASSVIEW。
如同我一開始就提到的,這些規則都沒有包含全部。有許多規則 IT 管理員可以實施來主動保護網路免於威脅。不過有一個重要的關鍵是,要想要能夠識別出網路中可能的異常狀況,就必須要先已經定義好什麼是網路的「正常」狀態。
以下是我們其他幾篇文章來幫助IT管理員保護他們的網路:
此外,若要瞭解更多關於針對性攻擊以及其他最佳實作的資料,請參考我們的針對性攻擊威脅情報資源。
@原文出處:The Easy-to-Miss Basics of Network Defense作者:Bryant Tan(趨勢科技威脅分析師)