通过Suricata规则监测异常的TLS证书

Feed威胁情报系统

https://feed.watcherlab.com

YARA和Suricata规则下载

https://feed.watcherlab.com/rules/

潜在威胁

根据我们对一些典型安全事件的分析，部分木马采用了HTTPS协议进行加密传输，以防范流量监测系统发现其行为或传输的内容。针对此种攻击，可以通过流量分析，提取HTTPS加密通讯时所使用的数字证书，结合黑证书指纹信息、证书过期信息，发现木马传输的隐蔽行为。以下主要演示通过suricata规则监测流量中的异常证书。

模拟实例

● 首先搭建一个网站，并为其颁布SSL/TLS证书

● 证书信息

访问测试网址，浏览器端获取到网址的证书，查看证书的序列号、SHA1指纹、证书是否过期等信息。

● Suricata规则

● 启动Suricata

命令

● 再次访问测试网址

在另一个终端查看日志信息

在证书未过期之前，能识别证书的序列号和SHA1指纹，并且打印证书有效，日志信息如图

证书过期之后，再次访问，不会再打印证书有效，打印的是证书无效，日志信息如图

小结

事实证明，我们需要不断扩充黑证书的信息库并生成相应的Suricata过滤规则，为日志分析奠定基础。

END