還有多少個X站在被後門、webshell寄生?
|事件回顧
近日,國內某知名二次元視頻網站(以下簡稱X站)遭遇黑客攻擊,近千萬條用戶數據外泄 ,其中包括用戶 ID、昵稱、" 加密存儲 " 的密碼等信息。同時在某群、github上也出現了黑客的販賣及勒索信息。
|黑客入侵分析
根據曝光的信息初步判斷,黑客應該是利用X站某台互聯網伺服器上的應用漏洞上傳後門或webshell,成功穿過防火牆等安全設備並getshell,之後通過東西向流動滲透內網,成功竊取近千萬條用戶數據並控制內網主機。根據黑客的描述,目前該後門仍未被清除,如果不及時處理不僅僅是數據泄露的問題,黑客還有可能進行鎖死伺服器、清除數據等極端操作。
|也許你的安全已經做到了90分,但幹掉你的往往是剩下那個10%
相信作為國內著名網站,X站一定還是做了一些安全防護工作的,但為什麼黑客還能如履平地的控制主機、竊取數據?恰巧我們最近在給一個客戶實施私有化安全防護的過程中,發現了一起極為類似的案例,在徵求客戶同意後,我們與大家一起分享該案例,希望引以為戒!
案例由椒圖科技總經理王健發現,椒圖科技天擇實驗室(THE CHOOSEN LAB)安全研究員徐榮維分析整理
客戶是國內一家知名的傳媒公司,對安全工作十分重視,認為之前的安全工作至少已經做到了90分,在部署雲鎖-主機安全之前,已經購買了waf、堡壘機、資料庫審計、IDS等多種安全設備,但我們在幫助客戶私有化部署完雲鎖後,發現在事件管理中曝出安全事件「伺服器疑似被入侵」,詳細如下:
因為客戶比較信賴之前的安全設備。。。因此在新部署完雲鎖之後僅開啟了監控模式,尚未開啟未知安全防護插件,但云鎖的內核探針捕獲到安全威脅,並生成了事件報告(監控模式下報警但不攔截)。
根據事件報告,kworker進程啟動了一個bash,並且bash進程的stdio和stdout綁定到了socket,被認定為可疑事件。
之後我們工程師在客戶的機器上發現有大量偽裝成內核進程kworker的可疑文件(kworker是內核進程,其實並沒有具體文件)
這些可疑進程有連接外網的行為
通過搜索在客戶機器上得到兩個樣本
MD5 (haproxy.1.0.1.so) = 3ee03ab062b4d5714b89ee9f91e44395
MD5 (kworker) = 4780abf7f24f747fa93087a9dc1d2f0d
分析樣本發現該後門行為如下:
1.將自己的進程名字改成[kworker] 或 [ksmd]
2.大量fork自己
3.創建反向shell連接
找到兩個黑客服務端的地址:(考慮到可能是被黑客控制的肉雞,我們做了*號處理)
mail.xjsb***.com tcp:53
45.79.***.*** tcp:21657
在/etc/init.d/functions發現添加了系統啟動代碼
經過進一步分析該後門是黑客通過weblogic漏洞上傳,並成功提權。
註:如果開啟雲鎖RASP功能,該安全漏洞可以直接被防禦,即使穿過RASP防護,雲端沙盒依舊能檢測加密、變形的webshell。
RASP技術可以對應用系統的流量、上下文、行為進行持續監控,能識別及防禦已知及未知威脅。能有效防禦SQL注入、命令執行、文件上傳、任意文件讀寫、反序列化、Struts2等基於傳統簽名方式無法有效防護的應用漏洞,之前曝光的多個struts2 0day漏洞,雲鎖RASP均可防禦。
因為客戶採購的安全設備都在外圍,在內網沒有任何防禦,之後客戶又在多台主機上發現了該後門,顯然是黑客入侵內網後的東西向移動,因此我們建議客戶在開啟未知安全防禦插件後,同時開啟微隔離功能,實現內網主機的有效隔離與訪問監控。
微隔離(Micro-segmentation)是一種更細粒度的網路隔離技術,可以跨物理網路自定義虛擬安全邊界以及自定義基於角色的訪問控制策略,防止攻擊者入侵內部業務網路後的東西向移動(lateral movement),同時雲鎖的微隔離功能可以基於IP、IP段、網址設置進網、出網訪問規則,有效防禦主機非法外連。
| 信息安全的最後一道防線在主機
傳統的安全解決方案停留在主機外圍,NG FIREWALL、WAF、IDS、IPS可以有效的預防或檢測已知安全漏洞、惡意代碼,但是對於0day漏洞、未知webshell等新型攻擊防禦乏力。雲鎖在主機端輕量級agent中融合RASP探針、自適應waf探針、內核加固探針、微隔離、沙盒等前沿安全技術,在國際上率先達到gartner定義的cwpp(雲工作負載保護平台)標準,除了集成安全規則外,在流量落地,或者腳本及二進位執行時會基於行為再次檢測,形成操作系統、應用、埠、網路的一體化防護,有效填補前端安全設備的短板,建立信息安全的最後一道防線。
TAG:雲鎖 |