点击欺诈 启明星辰:FlowEye入侵分析之点击欺诈案例

[前言]

根据美国网络安全公司Vectra最近进行的一项调查，攻击者在成功控制用户的网络主机后，立即窃取数据的可能性只有3%左右。在此之前，攻击者通常会利用丢失的主机对用户网络进行深入调查、暴力破解等不会造成严重破坏的活动。与那些会造成直接损害的活动相比，这种活动不太引人注目。

从入侵分析的角度来看，这意味着用户有更多的时间在造成重大损失之前发现潜在的攻击和入侵。但关键是，找到他们有多难？

我们认为，这主要取决于两个方面:一是用户自身发现入侵的知识和经验；第二，用户可用的工具。后者对用户尤为重要。如果该工具能够降低对用户能力的要求，并且能够与用户自身的业务知识很好的结合，那么这些入侵威胁的早期检测的可能性就会显著提高。作为入侵分析领域的领先产品，Venus FlowEye产品成功发现了一个运营商用户网络中的点击欺诈入侵案例，很好地解释了这一点。

[背景]

点击欺诈是指自然人或组织利用自动化脚本、计算机程序和雇佣自然人模仿合法在线用户，恶意点击网络广告达到一定规模，以获取商业利润或其他利益的行为。一项关于僵尸网络的调查显示，在成功建立僵尸网络后，绝大多数(约85%)的攻击者会控制“肉鸡”实施点击欺诈，只有约15%的攻击者会使用“肉鸡”发起DDoS攻击、蛮力破解等活动。

国内运营商部署Venus FlowEye产品两小时后，安全管理员在手机上收到非法境外访问行为报警，显示某内网服务器与境外机构之间存在可疑网络行为。安全管理员然后获得行为分析、流量统计分析、原始网络消息分析等的结果。通过FlowEye提供的IP资产画像能力，简单快速地确认服务器上存在点击欺诈，同时防止攻击者利用丢失的主机进行网络破坏活动，造成更严重的后果。

[问题发现]

FlowEye产品推出后，用户为一些重要的服务器配置了黑白名单，其中一个服务器配置了黑名单规则，即服务器不能主动发起与外部网络的网络连接(因为服务器只被动响应来自其他主机的服务请求，不会主动向外部网络主机发起请求)。列表配置完成后，FlowEye开始实时监控网络。安全域管理员收到报警消息后，也在FlowEye的监控图上发现了命中黑名单的网络行为，如下图所示:

[分析和确认]

根据FlowEye提供的服务器的行为图片，发现在美国服务器和一个IP之间有大量的http会话，而且比较频繁。通过查看事件内容，发现这些http会话都是通过国外网站(http://lanandwan.com)广告链接到google的，如下图所示:

结合原会话，验证如下:

然后通过统计信息发现，服务器发起的大量http会话，内容都是相似的，具体参数会有变化。用户随机选择了几个对话，发现访问的内容都是针对中国用户的广告，比如英语学习、投资理财等。，如下图所示:

基于以上现象，可以得出这些行为都是异常行为，怀疑服务器已经植入了某种木马。木马的作用是自动访问网站(http://lanandwan.com)，点击广告链接，这是典型的点击欺诈，需要立即加固服务器。

金星星安全服务人员加固服务器后，网络流量恢复正常，服务器行为恢复正常。

[结论]

以上案例表明，攻击者在成功入侵用户网络后，在对用户网络造成较大破坏之前，及时发现异常是可能的，甚至选择合适的工具也是容易的。特别是我们发现很多威胁，比如木马、后门、蠕虫等。，会在某个阶段产生外展行为。通过FlowEye的互联行为监控，结合用户的业务知识(如业务访问规则、资产合法性)，可以及时有效地发现威胁的线索。通过使用FlowEye灵活的行为分析、流量统计分析、原始数据包捕获、图形显示等功能，我们可以快速识别问题，及时发现网络入侵，最终防止重大损失。

生成长微博↓