当前位置：首页 > news >正文

天眼实战：从告警分析到威胁溯源的完整攻防演练

news 2026/5/16 18:44:26

1. 天眼系统核心功能解析

第一次接触天眼系统时，我被它"三位一体"的设计惊艳到了。这个由传感器、沙箱和分析平台组成的铁三角，就像网络安全界的福尔摩斯组合。传感器是敏锐的观察者，7×24小时监控网络流量；沙箱是专业的法医实验室，能对可疑样本进行解剖；分析平台则是强大的记忆库，存储着所有历史数据供调查取证。

传感器的工作原理特别有意思。它就像机场的X光安检机，能对HTTP/HTTPS、SMTP、POP3等20多种协议进行深度解析。我曾在客户现场实测，当攻击者尝试SQL注入时，传感器不仅能识别union select这类特征，还能还原出完整的注入语句。更厉害的是它对加密流量的处理——通过JA3指纹识别技术，即使面对SSL加密的恶意流量也能准确告警。

沙箱的隔离分析能力堪称一绝。记得有次发现可疑的Word文档，扔进沙箱后，它自动模拟点击宏操作，成功捕获到文档释放的PowerShell脚本。沙箱支持Windows/Linux双环境，能记录样本的API调用、注册表修改、网络连接等200+行为指标。最实用的功能是自动生成YARA规则，下次遇到同类样本就能直接拦截。

分析平台则是真正的"时间机器"。采用Elasticsearch架构，支持PB级数据存储。有次溯源半年前的攻击，用proto:rdp AND normal_ret:success语法，十分钟就定位到初始入侵点。平台内置的关联分析引擎更是个宝藏，能自动将分散的日志拼接成攻击链，比如把Web攻击、样本投递、C2通信等事件串联起来。

2. Web攻击的深度狩猎实战

去年处理过一起典型的Web攻击事件，让我深刻体会到天眼的强大。凌晨3点收到"文件上传"告警，传统SIEM可能就止步于告警详情，但天眼给了我们完整的破案工具包。

第一步查看原始流量包（快捷键Ctrl+Alt+P调出）。发现攻击者上传的test.jsp文件其实是个混淆过的冰蝎马。这里有个实用技巧：在分析平台用uri:"test.jsp" AND http.method:POST语法，能快速定位所有相关请求。对比正常JSP文件，恶意样本的Content-Type多为application/octet-stream，这是重要特征。

第二步追踪攻击路径。通过sip:攻击IP AND dip:目标IP搜索历史流量，发现攻击者之前还尝试过/manager/html路径的Tomcat弱口令爆破。在Authorization头里找到Base64编码的凭证，解码后是admin:admin这种经典组合。建议所有Tomcat管理员立即检查是否关闭了默认管理页面。

第三步行为分析最见功力。用event_id:exec AND process_name:cmd.exe语法，发现攻击者通过JSP马执行了whoami /all和net group "Domain Admins"命令。这里有个细节：天眼能记录完整的命令行参数，而传统日志往往只显示进程名。我们正是通过这些信息确认了横向移动企图。

终极武器是沙箱的动态分析。把捕获的样本丢进去，5分钟后报告显示它尝试连接185.xxx.xxx.xx:443，并使用了Cloudflare的CDN节点作掩护。我们在防火墙封堵该IP后，又通过dns.query:malicious.com语法找出内网所有解析过该域名的主机，最终揪出3台失陷设备。

3. 高级威胁的狩猎技巧

对于勒索病毒这类高级威胁，传统特征检测往往失效。去年处理的GlobeImposter事件中，天眼的异常行为检测立了大功。攻击者使用PsExec横向移动时，虽然加密了通信内容，但传感器还是通过SMB协议中的异常文件操作序列触发了告警。

爆破行为分析有套组合拳。先通过normal_ret:failed AND proto:rdp找出爆破源IP，再用normal_ret:success AND proto:rdp确认是否得手。有次我们发现某IP在爆破成功后立即执行了net use z: \\fileserver\share，这种时序关联非常值得警惕。建议设置这样的检测规则：

(sip:爆破IP AND event_id:login) WITHIN 5m FOLLOWED BY (event_id:file_create OR event_id:process_exec)

DNS隐蔽通道更难察觉。遇到过攻击者将C2指令编码在TXT记录查询中，天眼的DNS模块通过检测异常查询频率和长域名特征（如xj38dn.xj3d9nd.xj39dnd.xyz）成功识别。关键搜索语法是：

dns.query:*.xyz AND dns.query.length:>50 AND count:dns.query by sip

横向移动检测要关注特殊协议。比如用proto:smb AND smb.filename:*.vbs找可疑脚本传输，或者event_id:service_install查异常服务安装。有次攻击者使用WMI远程执行命令，我们通过process_name:wmic.exe AND cmdline:*/node:*锁定了攻击源。

4. 威胁溯源的黄金法则

完整的溯源报告需要像侦探小说般严谨。去年某次APT事件中，我们通过天眼实现了从攻击入口到幕后黑手的完整画像，这里分享关键步骤。

时间线重建是第一要务。用(sip:内网IP OR dip:内网IP) AND time:["now-7d" TO "now"]拉出所有相关日志，然后按时间排序。有个隐藏功能：按住Ctrl键多选事件后右键"创建故事线"，能自动生成带时序的可视化图表。

攻击者画像需要多维度证据。通过http.user_agent:"Mozilla/5.0 (Windows NT 10.0; Win64; x64)"锁定攻击者系统版本，结合登录时间发现其在北京时间9:00-18:00活跃，基本判定为国内攻击者。更专业的团队还会分析工具特征，比如Cobalt Strike的默认证书信息。

样本关联能挖出惊喜。把沙箱分析得到的C2 IP放到威胁情报平台查询，发现该IP还关联过其他3起攻击事件。通过YARA规则匹配，确认攻击者使用的Loader程序与某黑客论坛泄露的代码高度相似。

最后给出事件报告的必备要素：