一、網(wǎng)絡(luò)空間戰(zhàn)中的入侵溯源
隨著俄烏戰(zhàn)爭、哈薩克斯坦動亂等國際話題進入人們的視野,網(wǎng)絡(luò)安全技術(shù)成為各國維護自身國土安全的“利刃”之一的同時也推動了各國重視和發(fā)展自身的網(wǎng)絡(luò)攻防技術(shù)實力。
在攻防視角里,因為進攻方的目標明確,而防守方無從得知進攻點會落在何處,所以進攻方會占據(jù)較多的主動性,而防守方則略顯被動。作為防守方,很難知道攻擊會在什么時候發(fā)生。在攻擊發(fā)生的中、后期階段,防守方如果沒能及時發(fā)現(xiàn)、無法及時修復(fù)漏洞并加固系的話,攻擊者很有可能會發(fā)起二次攻擊,進一步加大后續(xù)修補的難度,導(dǎo)致用戶經(jīng)濟損失加劇。
面對攻防敵我位置不明朗的環(huán)境,入侵溯源則能通過系統(tǒng)性地分析受害資產(chǎn)與內(nèi)網(wǎng)流量,對所有受害資產(chǎn)上存在的異常的行為做整體分析,根據(jù)實際攻擊環(huán)境給出溯源方案。及時發(fā)現(xiàn)受害資產(chǎn)上存在的組件零日漏洞、掌握更多的攻擊者指紋信息,有效遏制二次攻擊帶來的傷害。
二、入侵溯源“難點重重”
傳統(tǒng)的入侵溯源都是通過手動實現(xiàn)的。在手工入侵溯源過程中,尋常的攻擊手段都是能通過系統(tǒng)上的各種日志上找出,比如:異常登錄、異常賬戶、網(wǎng)頁篡改、系統(tǒng)文件加密、系統(tǒng)密碼變更、系統(tǒng)運行時卡頓或是影響整個業(yè)務(wù)等等。雖然能通過流量日志、系統(tǒng)日志以及網(wǎng)站日志溯源到攻擊者IP、域名等指紋信息,但日志分析員得花費大量的時間與精力,且找到的信息少得可憐。
相比之下,不尋常且不易被記錄到日志的攻擊方法已然成為網(wǎng)絡(luò)攻擊的主流。許多黑客在定向攻擊的入侵前都會做充足的信息收集,攻擊者會判斷目標使用何種網(wǎng)絡(luò)、服務(wù)器架構(gòu)以及組件,正常網(wǎng)絡(luò)通信流量、服務(wù)器在處理正常業(yè)務(wù)時會觸發(fā)何種能與攻擊相吻合的操作,比如:使用非交互的命令執(zhí)行、根據(jù)目標架構(gòu)特性植入的內(nèi)存馬、利用系統(tǒng)白名單程序繞過檢測規(guī)則等等。要想捕捉此類的攻擊,僅僅依靠系統(tǒng)日志就想看出端倪的話,往往是一無所得。而要追蹤攻擊者的入侵痕跡、溯源攻擊鏈更是難上加難。
三、如何讓攻擊者“原形畢露”
在攻防演練趨于常態(tài)化的當(dāng)下,“以攻促防”的新觀念也在逐漸普及。然而,網(wǎng)絡(luò)安全的本質(zhì)在于對抗,對抗的本質(zhì)是在攻防兩端能力較量。
1、攻防實戰(zhàn)中常見的入侵場景
用戶在面對日常業(yè)務(wù)系統(tǒng)安全的維護或者特定時期的大型攻防演練期間,經(jīng)常面臨以下幾種入侵場景:
場景一:WebRce入侵溯源
攻擊場景:攻擊者通過jboss的遠程代碼執(zhí)行漏洞滲入服務(wù)器網(wǎng)段,利用Java組件植入內(nèi)存木馬,在成功的反彈shell后,繼而將web服務(wù)器當(dāng)作跳板機,橫向移動到內(nèi)網(wǎng)其它服務(wù)器。
溯源解析:在入侵過程中,使用反彈shell、遠程下載惡意文件、端口轉(zhuǎn)發(fā)等方式,將會觸發(fā)威脅告警,且會記錄這個域名/IP,提供一個反向信息收集和滲透測試的路徑。
場景二:蠕蟲病毒入侵溯源
攻擊場景:攻擊者通過ssh爆破進入服務(wù)器網(wǎng)段,并成功植入蠕蟲挖礦病毒,并通過ssh暴力破解其它內(nèi)網(wǎng)服務(wù)器,植入挖礦病毒。
溯源解析:很多蠕蟲病毒的傳播方法都只是依靠暴力破解或命令執(zhí)行類的漏洞進行傳播,這種簡單粗暴的攻擊手段往往是最有效果。常見的幾種病毒如:XorDDOS、DDG、XNote系列,普遍也是依靠暴力破解進行傳播。
場景三:webshell入侵溯源
攻擊場景:攻擊者事先通過不同IP的肉雞對web服務(wù)器發(fā)起網(wǎng)絡(luò)掃描,用于探測web服務(wù)器漏洞的同時還能隱蔽自己的真實IP,隨后通過任意文件上傳漏洞植入webshell,并執(zhí)行系統(tǒng)高危命令和反彈shell等操作。
溯源解析:對于webshell的溯源,大多都是通過網(wǎng)站日志和流量日志溯源到攻擊者真實的IP地址,但大量的網(wǎng)站日志和流量日志將會導(dǎo)致溯源無從下手。先通過入侵掃描檢測功能理清攻擊者存在有多少個IP,再通過檢測webshell后續(xù)的操作,從進程和流量的角度,分別找出攻擊者執(zhí)行了何種高危命令、攻擊者的真實IP。
通過對比2018年到2020年期間的安全隱患排名變化,以及分析攻防演練期間的失分點“重災(zāi)區(qū)”,可以發(fā)現(xiàn),內(nèi)網(wǎng)隱患占比最大、危害最大。在開展(云)主機安全防護工作之前,了解入侵者是如何入侵的,才能事倍功半地做好防護措施。因此,將入侵溯源模型融入(云)主機安全防護管理則很有必要。
2、安全狗云眼重磅升級
云眼作為受到Gartner、IDC等國內(nèi)外權(quán)威機構(gòu)認可的(云)主機安全產(chǎn)品,在新版本中也內(nèi)置了“入侵溯源模型”,能有效支撐云眼的溯源功能。
云眼·新一代(云)主機入侵監(jiān)測及安全管理系統(tǒng)
云眼是安全狗借鑒Gartner提出的CWPP設(shè)計思路,采用先進的端點檢測及響應(yīng)(EDR)技術(shù)模型、自適應(yīng)安全架構(gòu)及ATT&CK在Server EDR中的應(yīng)用相結(jié)合的理念所構(gòu)建的新一代(云)主機入侵監(jiān)測及安全管理系統(tǒng),解決私有云、混合云中主機安全監(jiān)測及防護問題。
云眼溯源分析模塊通過內(nèi)置溯源模型規(guī)則,與告警數(shù)據(jù)進行自動化匹配,還原黑客入侵軌跡,有利于用戶及時針對入侵路徑里包含的漏洞、風(fēng)險點等進行修補,避免二次入侵的發(fā)生。
3、云眼有效溯源,精準追蹤入侵
通常,入侵溯源工作需要“知己”,了解異常服務(wù)器部署的業(yè)務(wù)情況和技術(shù)框架、異常服務(wù)器的網(wǎng)絡(luò)是否處在DMZ區(qū)、是否開放有公網(wǎng)訪問、開放了哪些端口、系統(tǒng)補丁修復(fù)情況、最近是否有過什么資產(chǎn)變更等等。另外,入侵溯源工作需要“知彼”,需要有大量的真實攻擊數(shù)據(jù)建立場景模型。
在開始建立溯源模型前,需要先有建模前的兩個準備工作:
明確告警源:是誰檢測出的告警?在哪個位置檢測出的告警?觸發(fā)了什么告警?
明確告警類型:是需要進一步分析的關(guān)鍵告警(如漏洞攻擊、內(nèi)存木馬等)還是佐證判斷的告警(如掃描事件)?
在做好這兩個建模前的準備工作后,需要通過以下幾個步驟來確立溯源模型:
步驟一
模型通過收集并處理異常服務(wù)上的流量訪問、網(wǎng)頁更改、路徑、源IP、端口、操作審計、系統(tǒng)篡改、內(nèi)存篡改之類的異常信息,對攻擊者所使用的關(guān)鍵攻擊手段識別并作為關(guān)鍵攻擊節(jié)點,從而定位到攻擊入口點。
常見的一些攻擊入口點舉例如下:
1.針對不同web應(yīng)用的EXP,比如遠程代碼命令執(zhí)行、邏輯漏洞等通用性強且應(yīng)用范圍廣的攻擊載荷;
2.應(yīng)用的功能過濾不嚴格,比如圖片上傳界面的過濾不嚴格導(dǎo)致的上傳漏洞或是注入漏洞;
3.系統(tǒng)弱口令問題,比如管理員權(quán)限賬戶存在弱口令;
4.系統(tǒng)漏洞或應(yīng)用(三方軟件)漏洞未做及時的更新與修復(fù);
5.蠕蟲病毒。
步驟二
模型通過分析研判異常服務(wù)上的各類異常告警,如遠程代碼執(zhí)行、異常掃描、系統(tǒng)異常內(nèi)存、系統(tǒng)異常命令執(zhí)行之類的異常行為信息,捕獲攻擊者的關(guān)鍵攻擊手段,記錄異常行為告警中的關(guān)鍵信息,比如攻擊者IP、指紋,從而定位到下一個攻擊行為。
常見的一些攻擊行為舉例如下:
1.可疑C&C連接行為。
2.拒絕服務(wù)攻擊行為。
3.惡意軟件、惡意病毒行為。
4.零日漏洞利用攻擊行為。
步驟三
最后,模型將通過前兩步驟獲取到的各類異常信息從整體上串聯(lián)起來,會根據(jù)捕獲到的時間、資產(chǎn)以及指紋等信息排列組成一條攻擊鏈。攻擊鏈上將記錄攻擊者入侵的前、中、后三個階段所用到的攻擊手段。
通過這些步驟,云眼可為用戶建立起有效的溯源模型,讓每一入侵者的“蛛絲馬跡”原形畢露。
4、云眼多維功能,全面做好入侵防護
通過新版云眼中一鍵溯源、定時溯源、主機殺傷鏈視圖、主機關(guān)系圖、時間滑塊、手動溯源等多個功能,用戶能多維度地做好主機入侵安全防護。
云眼支持一鍵溯源(立即溯源)、定時溯源(定時周期性自動化溯源)。溯源結(jié)果支持多視圖展示,讓用戶對攻擊者的“一舉一動”一目了然。
主機殺傷鏈視圖以殺傷鏈的視角展示模型命中的告警的分布,橫軸代表殺傷鏈的階段,縱軸代表不同的風(fēng)險等級。借此功能,用戶能高效安排處理風(fēng)險高的問題,讓有限的資源效益最大化。
主機關(guān)系圖中,將規(guī)則中的所有主機、主機命中的告警、主機間的攻擊進行可視化展示。明確攻擊進程,主機安全可控。
通過滑動視圖底部的時間滑塊,可變化展示在不同時間區(qū)間內(nèi)的主機及告警分布情況。用戶能結(jié)合二八法則,針對最重要的主機做好對應(yīng)的安全處置,保證重要業(yè)務(wù)系統(tǒng)順利運行不受影響。
結(jié)合支持手動溯源功能,可對具體的告警時進行研判與處置操作,溯源數(shù)據(jù)支持生成溯源報告一鍵導(dǎo)出。用戶未來主機安全防護有數(shù)據(jù)可依,有處置方法可用。
通過入侵溯源在主機安全的落地與實踐,有利于用戶更好地定位攻擊者,提升后續(xù)的修復(fù)漏洞與系統(tǒng)加固效率。安全狗云眼新版本中也具備更多新功能,希望借此提升千行百業(yè)用戶的攻防思維,為云安全提供更加全面的防護與處置響應(yīng)。
