• 绿盟安全事件响应观察处置过程


    结论建议

    结论:
    \1. 攻击者通过 ThinkPHP 远程命令执行漏洞获取了 web
    shell,从而实现挂马。建议:

    1. 在不影响业务的前提下,更新 ThinkPHP 至最新版
      本;1. 部署安全设备
      ,如 WAF、IPS 等,用于阻断安全攻击;1. 定期对 WEB系统进行备份;
    2. ThinkPHP 漏洞分析:

    入侵事件应急案例

    1. 背景介绍
      2019 年 08 月,客户收到信息安全邮件告警,内部主机(172.*.*.101)对堡垒机进行多次暴力破解。 排查发现该主机 /tmp 目录存在 frpc 等内网渗透工具,并且主机与公网 IP 地址建立了连接关系。因此, 管理员对该主机进行了紧急下线。
    处置过程
    1. 与相关人员沟通得知,互联网无法直接访问到内部主机(172.*.*.101),因此怀疑存在其他主
      机被黑客当作跳板。通过查看内部安全设备,确认 08 月 07 日,仅(172. *.*.11)(172. *.*.59)(172. *.*.112)三台主机登录过(172. *.*.101),因此,对以上三台主机展开调查。
    2. 经过确认,(172. *.*.11、172. *.*.59)两台主机未发现异常,均为运维人员的正常操作,但在(172.
      *.*.112)主机 secure 日志中发现该主机 SSH服务被大量暴力破解,并且成功登录,源 IP为(172. *.*.103):
      图 5.35 secure 日志记录
      3.(172. *.*.103)为一台 Windows 主机,通过查看 IE浏览器的历史记录发现,该主机曾经下载过“超 级弱口令检查工具”、“暴力破解字典”等黑客工具,由以上妥协的指标(IOCs)确定,该主机已沦陷。
      图 5.36 IE 历史记录
      \4. 由于超级弱口令检查工具仅有图形化版本,猜测攻击者曾通过 3389 远程登陆到该主机(172. *.*.103)。于是对该主机安全事件日志进行分析,确认从 08 月 05 日 -08月 07 日,仅源地址为(172. *.*.105) 的主机成功登陆过。
      图 5.37 主机安全事件日志
    3. 对(172. *.*.105)主机进行分析,发现该主机 /tmp 目录下存在大量的黑客工具,包括“frpc”、
      “1.py(端口扫描脚本)”等。
      图 5.38 大量黑客工具
    4. 经过多维度分析,该主机上最早的妥协的指标(IOCs)为 /var/log/cron 日志中的一条反弹 shell
      记录――每 3 分钟反弹一次 shell 到公网 IP(54. *.*.207):
      图 5.39 /var/log/cron 日志
    5. 通过对主机开放端口查看,发现主机开启了 Tomcat、Redis、SSH 等服务。且在 /var/spool/
      cron/root 文件中发现了上述的反弹 shell 命令。
      图 5.40 反弹 shell 命令
    6. 并且,该文件首行为“REDIS”关键字,此为典型的 Redis 未授权访问漏洞反弹 shell 的利用手法。
      图 5.41 文件首行有“REDIS”字样
    7. 因此,可以确定,攻击者通过 Redis 未授权访问漏洞写入计划任务反弹 shell 控制了(172. *.*.105)
      主机。
    8. 登陆负载均衡查看端口映射,发现最外侧负载公网 IP(211. *.*.151)映射给内网应用 F5 VSIP
      (172. *. *.12),在应用负载访问(172. *. *.105)时通过 AutoMap NAT 转换为 F5 的接口地址(172. *. *.6)为源去访问(172. *. *.105)。即内网主机(172. *. *.105)被全端口映射到公网 IP(211. *. *.151)。 因此,可以确定,内网主机为(172. *. *.105)最初沦陷的主机。
      攻击者攻击路径总结如下
      图 5.42 攻击路径图
      5.4.3 结论建议
      结论:
      \1. 经过排查,确认攻击者通过 Redis 未授权访问漏洞控制了企业暴露在公网的一台服务器(172.*. *.105),并以此为跳板,通过 frpc、超级弱口令检查工具、Nmap 等黑客工具攻击并控制了内 网多台主机。
      建议:
    9. 技术方面:
      根据排查结果,发现攻击者通过 3389、SSH 弱口令控制内网多台机器。因此,建议对主机口 令进行加强,并建议对于不同主机使用不同口令。
      对于 Redis 未授权访问漏洞,建议如下:
    1. 禁止使用 root 用户启用 Redis 服务;
    2. 为 Redis 添加密码验证;
    3. 修改 redis.conf 文件,添加 bind 127.0.0.1 配置项,禁止外网访问 Redis。
    1. 安全管理:
      建立相应制度,对内部资产进行管理。对于端口映射等操作,需经过必要的流程。同时对不再 使用的主机,IP 进行及时回收,关闭映射。

    安全建议

    安全建议
    我们通过对大量安全事件源头进行分析,发现绝大多数的事件均与企业的网络安全基础防护与管理 制度有关,由此我们整理了以下安全防护建议,可供参考:

    1. 人员安全意识培养
      有研究报告显示,网络攻击源头有六成左右是来自企业内部,而绝大部分内部攻击则是由于员工被 外部攻击者利用、控制导致。在信息技术高度发达的今天,攻击者可攻击的途径包括:钓鱼邮件、水坑 网站、手机短信、社交软件、公共 Wi-Fi等,企业可通过定期的安全意识培训、应急演练,对全员的安 全防范意识水平进行检验。
    2. 加强口令复杂度管理
      有史以来,弱口令一直是一个老生常谈的问题,是最容易被企业忽,同时也是最受攻击者青睐的 漏洞。对于企业所有 IT资产均需要制定并执行统一的口令复杂度配置标准,避免出现弱口令、通用口 令或规律口令,企业可通过制定相关安全规范、业务上线流程、基线配置核查等多种手段进行规避。
    3. 定期做好重要数据备份
      近年来,勒索软件作为一种直接利益驱使的攻击手段,由于其具有攻击效果显著、攻击成本低、交 易匿名性等特点,使它备受攻击者青睐。同时由于其传播渠道众多,企业或个人在做好基础安全防护的 同时,数据备份则是最行之有效的对抗方案,企业可通过私有云、存储设备、网络同步等方式,定期对 重要业务数据进行备份并妥善保管。
    4. 加强漏洞生命周期管理
      网络攻击手段和安全漏洞公布可以用日新月异来形容,这也是网络安全区别于一些传统行业的显著 特征。企业应将漏洞管理作为一项持续化、日常化的工作,并制定详细流程,包括:开发规范、漏洞获 取、漏洞排查、漏洞修复、漏洞验证等,同时还应定期通过灰盒安全测试,主动发现系统、应用及网络 中存在的安全漏洞隐患。
    5. 加强网络边界资产管理
      我们在多个典型安全事件案例中发现,攻击者通过攻击网络边界资产,并以此为跳板对内部网络进 行了横向扩展攻击,最终造成了重大影响。企业网络边界资产由于部分业务暴露在互联网,往往会被攻 击者作为突破企业安全防护的首要目标。企业可通过安全域划分、防火墙 ACL细化、应用漏洞防护等
      手段加强网络边界管理。
    6. 互联网敏感信息泄露排查
      信息收集作为黑盒测试流程中的重要一环,对安全测试的最终结果起着至关重要的作用。攻击者除 了会利用搜索引擎、大数据收集目标企业互联网暴露资产外,还会通过网盘、文库、GitHub 等渠道收 集泄露的敏感信息,如:邮箱口令、数据库配置、应用系统源码等。企业应建立起长效机制,在通过管 理制度约束员工行为的同时,还需要通过技术手段,监测互联网敏感信息的暴露。
    7. 关注供应链攻击安全风险
      供应链攻击作为一种高度隐蔽的攻击方式,最终可能影响数十万甚至上亿的目标用户。企业面对的 供应链风险主要存在于设备采购、软件开发、产品交付、系统运维等多个阶段,IT供应链安全是一套涉 及面广且复杂的体系,在任何一个阶段出现问题势必都会影响供应链上下游安全,企业应通过建立产品 采购及供应链厂商管理制度、建立健全应用开发生命周期安全管理制度、建立上下游安全威胁通报机制 等多种手段,及时掌握应用及产品安全风险,提升沟通协调及应急处置效率。
    8. 部署威胁溯源审计平台
      单点部署的安全设备,由于无法做到统一管理分析,往往无法及时发现有效的攻击事件,同时在事 后由于缺失日志、样本等关键数据,无法做进一步溯源分析。对于安全防护要求较高的业务系统,可通 过部署态势感知平台,结合威胁情报数据,及时发现恶意网络攻击,此外全流量存储分析平台,可为企 业提供未知攻击捕获及安全事件攻击溯源能力。

    绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、数据分析实验室和物联网安全实验室, 关注云安全、容器安全、威胁情报、数据驱动安全、物联网安全和区块链等领域。作为“中关村科技园区海淀园 博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、 国家专利、国家标准、高水平学术论文、出版专业书籍等。我们持续探索信息安全领域的前沿学术方向,从实践出发, 结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。

    绿盟应急响应团队(NSFOCUS Incident Response Team,NIRT)是一支常年研究安全技术、实时跟踪安全动 态的专业团队,核心专家多次参与国家重大活动保障及应急支撑工作,对各类安全漏洞和应急事件均有成熟的分 析方法和丰富的处置经验。分布全国的攻防应急团队成员,实现了应急服务对全行业、全事件的覆盖,并能以小 时级的响应速度,协助客户抑制损失、根除隐患、恢复业务。同时绿盟科技具有国家级应急支撑单位及工业信息 安全应急支撑单位资质,可面向客户提供后门提取、样本分析、日志分析、数据恢复、攻击溯源、应急演练、应 急培训等多种应急服务。

    参考资料

    绿盟 2019年安全事件响应观察报告

    友情链接

    福建省大数据发展条例 2021

  • 相关阅读:
    [python][原创]模拟实现yolov5训练时候终端的训练进度显示
    ElasticSearch 实现分词全文检索 - SpringBoot 完整实现 Demo 附源码【完结篇】
    R语言使用lightgbm包构建二分类的LightGBM模型、使用predict函数和训练模型进行预测推理,预测测试数据的概率值并转化为标签
    Elasticsearch第二篇:es之间版本比较
    springboot反射执行private方法@Autowired字段为空
    X11 forwarding
    问答:计算机网络技术是什么?
    web基础与HTTP协议
    智慧工地云平台源码 人工智能AI+多系统集成+智能预警平台源码
    2022双十二有哪些值得入手的数码好物?值得入手的数码好物推荐
  • 原文地址:https://blog.csdn.net/m0_73803866/article/details/127662907