通过Suricata规则监测异常的TLS证书

Feed威胁情报系统

https://feed.watcherlab.com

YARA和Suricata规则下载

https://feed.watcherlab.com/rules/

潜在威胁

根据我们对一些典型安全事件的分析,部分木马采用了HTTPS协议进行加密传输,以防范流量监测系统发现其行为或传输的内容。针对此种攻击,可以通过流量分析,提取HTTPS加密通讯时所使用的数字证书,结合黑证书指纹信息、证书过期信息,发现木马传输的隐蔽行为。以下主要演示通过suricata规则监测流量中的异常证书。

模拟实例

● 首先搭建一个网站,并为其颁布SSL/TLS证书

● 证书信息

访问测试网址,浏览器端获取到网址的证书,查看证书的序列号、SHA1指纹、证书是否过期等信息。

● Suricata规则

● 启动Suricata

命令

● 再次访问测试网址

在另一个终端查看日志信息

在证书未过期之前,能识别证书的序列号和SHA1指纹,并且打印证书有效,日志信息如图

证书过期之后,再次访问,不会再打印证书有效,打印的是证书无效,日志信息如图

小结

事实证明,我们需要不断扩充黑证书的信息库并生成相应的Suricata过滤规则,为日志分析奠定基础。

END

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181228G0S3X600?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券