JoshTEphraim/Threat-Hunting-DoS-Activity-Investigation-and-Analysis

# 威胁追踪：DoS 活动调查与分析 在此次调查中，我们面临一种可能影响某组织关键网络基础设施的拒绝服务攻击。安全监控已检测到大量连接尝试、系统性端口扫描活动、激进的认证暴力破解攻击以及表明存在分布式拒绝服务行为的特征模式。 #### 拒绝服务 这是一种攻击方式，恶意行为者通过向服务器发送大量流量，使服务器无法处理请求，导致用户无法访问服务。*DDoS（分布式拒绝服务）*是通过多台被称为僵尸网络的受感染计算机对服务器发起的攻击，使目标机器不堪重负，直至无法处理正常流量。此类攻击主要分为两大类：[*缓冲区溢出攻击*](https://www.cloudflare.com/learning/security/threats/buffer-overflow/)和*[洪水攻击](https://www.cloudflare.com/learning/ddos/http-flood-ddos-attack/)* #### 端口扫描 端口扫描是攻击者用来查找网络中开放端口或薄弱点的常见手段。此类扫描可以暴露正在运行的服务、版本信息、服务所有者用户、是否允许匿名登录以及哪些网络服务需要认证。企业也会执行端口扫描以检查其组织中可能存在的任何潜在弱点。 #### 暴力破解攻击 这是一种攻击者用来获取系统访问权限、破解密码、登录凭证和加密密钥的试错方法。通过尝试多种用户名和密码的广泛组合，直到找到正确的登录凭证。 ## 调查方法 以下是我们在调查中将使用的关键要点 - UFW 日志中的高容量连接模式分析 - 端口扫描和服务枚举检测 - 认证暴力破解模式识别 - 资源耗尽行为分析 - 攻击向量分布评估 - 流量量和频率关联分析 - 攻击持续时间和持久性分析 #### 工具 我们将用于威胁追踪的工具是 Elastic SIEM，它用于威胁追踪、数据分析和端点安全，可帮助 SOC 分析师、威胁追踪人员在云端、端点和本地环境中识别、调查和响应威胁  ### 1 - UFW 日志中的高容量连接模式分析 UFW 防火墙是 `iptables` 的一个接口，旨在简化 Ubuntu 系统上的配置。查看 UFW 日志将帮助我们识别 DoS 特定模式。执行以下查询，我们将筛选出与 UFW 防火墙活动相关的特定事件 ``` logtype: ufw ```  UFW 日志为我们提供了目标端口、IP 地址、连接尝试和数据包特征的详细信息，这些将有助于我们的调查。 ***MITRE ATT&CK*** | ID | 技术 | | --- | --- | | T1190 | 利用面向公众的应用程序 | | T1595.001 | 主动扫描：扫描 IP 段 | ### 2 - 端口扫描和服务枚举检测 DoS 攻击通常始于端口扫描，为此我们将使用以下查询，查找短时间内被阻止的连接，这是 DoS 活动的高度指示 ``` logtype: ufw AND message: "UFW BLOCK" ```  从时间来看，我们可以看到 UFW 防火墙在短时间内进行了多次阻止，这清楚地表明了端口扫描活动 ***MITRE ATT&CK*** | ID | 技术 | | --- | --- | | T1046 | 网络服务发现 | | T1595.002 | 主动扫描：漏洞扫描 | ### 3 - 认证暴力破解模式识别 拒绝服务攻击通常包含认证尝试，以压垮登录服务并消耗资源。在这种情况下，我们将基于 `auth` 日志类型下的 `invalid user`（无效用户）和 `authentication failure`（认证失败）进行过滤 ``` logtype: auth AND (message: "Invalid user" OR message: "authentication failure") ```  如所见，多次无效用户登录尝试和认证失败进一步证明了这确实是一次 DoS 攻击。 ***MITRE ATT&CK*** | ID | 技术 | | --- | --- | | T1110.001 | 暴力破解：密码猜测 | | T1110.003 | 暴力破解：密码喷洒 | | T1078 | 有效账户 | ### 4 - 资源耗尽行为分析 此攻击旨在通过各种攻击向量压垮系统资源。为了识别这些技术，我们需要分析连接的系统性特征，查看被阻止的连接尝试及其源 IP。 ``` logtype: ufw AND message: "UFW BLOCK" AND message: "SRC=" ```  ***MITRE ATT&CK*** | ID | 技术 | | --- | --- | | T1499 | 端点拒绝服务 | | T1498 | 网络拒绝服务 | | T1498.001 | 直接网络洪水攻击 | ### 5 - 攻击向量分布评估 DoS 活动通常涉及多种攻击向量和不同服务目标。通过将这些活动与不同协议和端口进行关联，我们可以识别全面的 DoS 攻击模式并评估攻击向量的分布情况。 ``` logtype: auth AND message: "Invalid user" ```  此查询有助于识别用户枚举尝试，这些尝试可能是针对认证服务的更广泛 DoS 策略的一部分，特别是系统性尝试压垮 SSH 和其他登录服务。 ***MITRE ATT&CK*** | ID | 技术 | | --- | --- | | T1589.001 | 收集受害者身份信息：凭证 | | T1110.004 | 暴力破解：凭证填充 | | T1592 | 收集受害者主机信息 | ### 6 - 流量量和频率关联分析 为了全面了解 DoS 攻击方法，分析服务目标和资源耗尽的系统性方法。DoS 攻击通常针对特定服务并产生高频连接模式。 ``` logtype: ufw AND message: "UFW BLOCK" AND message: "DPT=" ```  通过查看目标端口信息，可以识别在 DoS 活动期间被攻击的服务多样性，并评估攻击在不同网络服务中的范围。 ***MITRE ATT&CK*** | ID | 技术 | | --- | --- | | T1046 | 网络服务发现 | | T1499.002 | 服务耗尽洪水攻击 | ## 高级调查技术 ### 7 - 高容量端口扫描检测 识别 DoS 侦察阶段特征性的系统性端口扫描活动： ``` logtype: ufw AND message: "UFW BLOCK" AND (message: "DPT=21" OR message: "DPT=23" OR message: "DPT=25" OR message: "DPT=80" OR message: "DPT=443" OR message: "DPT=993" OR message: "DPT=995" OR message: "DPT=1433" OR message: "DPT=3389") ```  此查询聚焦于在 DoS 活动期间经常被攻击的常见服务端口，用于服务枚举和攻击向量识别。 ***MITRE ATT&CK*** | ID | 技术 | 端口 | | --- | --- | --- | | T1021.004 | 远程服务：SSH | 22 | | T1071.001 | Web 协议 | 80/443 | | T1190 | 利用面向公众的应用程序 | 80/443 | | T1046 | 网络服务发现 | 全部 | | T1021.001 | 远程桌面协议 | 3389 | | T1190 | 利用面向公众的应用程序 | 1433 (SQL) | ## 结论 通过分层 KQL 查询分析 UFW 防火墙和认证日志，我们识别出了包括端口扫描、暴力破解尝试和资源耗尽在内的 DoS 模式。所有发现均已映射到 MITRE ATT&CK，确认了从侦察到影响的结构化攻击链。主动式 SIEM 监控仍然是早期检测和快速响应的关键。

标签：Cloudflare, DDoS, DoS攻击, Flood攻击, KQL, MITRE ATT&CK, PoC, UFW防火墙, 拒绝服务, 插件系统, 数据统计, 暴力破解, 服务枚举, 本地模型, 端口扫描, 缓冲区溢出, 网络基础设施, 网络安全, 认证日志, 连接尝试, 隐私保护