今日頭條
官方微信
官方抖音
資訊頻道2015年11月16日,國內(nèi)著名安全研究團(tuán)隊啟明星辰積極防御實驗室成功捕獲了國內(nèi)首例利用Redis漏洞實現(xiàn)的DDOS僵尸網(wǎng)絡(luò)控制樣本。自Redis漏洞被公布以來,網(wǎng)絡(luò)空間出現(xiàn)了大量利用該漏洞的攻擊事件,但利用該漏洞快速部署僵尸程序,并通過僵尸網(wǎng)絡(luò)實施高強度的分布式拒絕服務(wù)攻擊還是首例。
深厚的攻防技術(shù)積累與全新的檢測產(chǎn)品-XDS有效協(xié)同是本次樣本被捕獲的關(guān)鍵。
我們在某企業(yè)客戶IT系統(tǒng)現(xiàn)場捕獲了該僵尸程序樣本,并幫助該用戶成功清除了該僵尸程序,這得益于該用戶部署了XDS產(chǎn)品。在XDS產(chǎn)品上線之時,啟明星辰安全運維專家協(xié)助用戶,結(jié)合該用戶IT環(huán)境特征與應(yīng)用系統(tǒng)的邏輯特征制定了相應(yīng)的應(yīng)用異常檢測規(guī)則,其中:WEB服務(wù)器業(yè)務(wù)流白名單是本次樣本捕獲的關(guān)鍵規(guī)則集。該WEB服務(wù)器對互聯(lián)網(wǎng)提供某種數(shù)據(jù)服務(wù),后臺具有數(shù)據(jù)庫服務(wù)器,企業(yè)內(nèi)部有嚴(yán)格的運維規(guī)范,因此制定的業(yè)務(wù)流白名單規(guī)則包含了如下部分關(guān)鍵邏輯:
1)該WEB服務(wù)器僅能夠被互聯(lián)網(wǎng)終端通過80端口訪問
2)新建連接必須從登陸頁面開始訪問
3)WEB服務(wù)器可以主動訪問內(nèi)部特定終端,禁止主動訪問互聯(lián)網(wǎng)
4)內(nèi)部運維接口固定IP地址
5)對數(shù)據(jù)庫的訪問僅能通過該應(yīng)用系統(tǒng)的標(biāo)準(zhǔn)數(shù)據(jù)庫訪問JDBC接口進(jìn)行數(shù)據(jù)庫訪問。
任何違背以上規(guī)則的流量將觸發(fā)告警,同時XDS產(chǎn)品會連續(xù)抓取5分鐘的流量數(shù)據(jù)供安全運維人員分析。
2015年11月15日,該用戶發(fā)現(xiàn)XDS產(chǎn)品報告了一條WEB服務(wù)器對互聯(lián)網(wǎng)的一次主動訪問事件,請求啟明星辰安全運維專家協(xié)同分析該事件。現(xiàn)場,我們提取了XDS產(chǎn)品留存的5分鐘流量信息并進(jìn)行分析,即刻發(fā)現(xiàn)了明顯的被控制特征--WEB服務(wù)器短時間內(nèi)向特定IP發(fā)送了大量的隨機(jī)報文,隨后安全專家追溯了XDS產(chǎn)品的歷史事件,還原了完整的攻擊鏈條,并在WEB服務(wù)器某目錄下找到了僵尸程序,完成了樣本的提取與清除。攻擊鏈條如下:
2015年11月15早晨,黑客利用Redis未授權(quán)漏洞,通過6379端口成功入侵了該用戶的WEB服務(wù)器并植入SSH公鑰。該行為觸發(fā)了上述第一條XDS規(guī)則,并發(fā)生了告警。
隨后,黑客通過SSH向WEB服務(wù)器傳遞了僵尸程序,同樣該行為觸發(fā)了上述第一條XDS規(guī)則并產(chǎn)生告警。可惜前兩條告警發(fā)生時,用戶并未關(guān)注安全狀況,錯失了防御的第一時間點。
最后黑客顯然為了進(jìn)行僵尸網(wǎng)絡(luò)的功能測試,隨機(jī)發(fā)起了一次小規(guī)模拒絕服務(wù)攻擊,此行為觸發(fā)了上述XDS第三條規(guī)則。幸運的是,此時用戶注意到了本次報警并開始處理該事件,防止了WEB服務(wù)器永久的成為僵尸網(wǎng)絡(luò)的一部分。
當(dāng)前黑客的組織性比以往更強,對0DAY,NDAY漏洞的利用效率極高,通常0DAY、NDAY漏洞一旦被黑客圈掌握,在極短的時間內(nèi)就會形成有效攻擊,這導(dǎo)致了傳統(tǒng)的入侵檢測方法在漏洞剛剛被發(fā)現(xiàn)的一段時間內(nèi)是失效的。啟明星辰新推出的XDS產(chǎn)品基于開放式檢測架構(gòu),可以快速部署與用戶應(yīng)用結(jié)合的安全檢測規(guī)則,實現(xiàn)以不變應(yīng)萬變。該僵尸程序樣本被捕獲的當(dāng)日,啟明星辰升級了XDS產(chǎn)品的攻擊特征庫,可以實現(xiàn)對該樣本的精確檢測。
啟明星辰XDS安全事件分析團(tuán)隊
北京市公安局海淀分局備案號:11010802023656號