啟明星辰:首例 RedisDDOS 樣本捕獲背后的故事
2015年11月16日��,國(guó)內(nèi)安全研究團(tuán)隊(duì)啟明星辰積極防御實(shí)驗(yàn)室成功捕獲了國(guó)內(nèi)首例利用Redis漏洞實(shí)現(xiàn)的DDOS僵尸網(wǎng)絡(luò)控制樣本��。自Redis漏洞被公布以來(lái)��,網(wǎng)絡(luò)空間出現(xiàn)了大量利用該漏洞的攻擊事件,但利用該漏洞快速部署僵尸程序,并通過(guò)僵尸網(wǎng)絡(luò)實(shí)施高強(qiáng)度的分布式拒絕服務(wù)攻擊還是首例。
深厚的攻防技術(shù)積累與全新的檢測(cè)產(chǎn)品-XDS有效協(xié)同是本次樣本被捕獲的關(guān)鍵��。
我們?cè)谀称髽I(yè)客戶(hù)IT系統(tǒng)現(xiàn)場(chǎng)捕獲了該僵尸程序樣本��,并幫助該用戶(hù)成功清除了該僵尸程序,這得益于該用戶(hù)部署了XDS產(chǎn)品��。在XDS產(chǎn)品上線(xiàn)之時(shí),啟明星辰安全運(yùn)維專(zhuān)家協(xié)助用戶(hù),結(jié)合該用戶(hù)IT環(huán)境特征與應(yīng)用系統(tǒng)的邏輯特征制定了相應(yīng)的應(yīng)用異常檢測(cè)規(guī)則,其中:WEB服務(wù)器業(yè)務(wù)流白名單是本次樣本捕獲的關(guān)鍵規(guī)則集。該WEB服務(wù)器對(duì)互聯(lián)網(wǎng)提供某種數(shù)據(jù)服務(wù)��,后臺(tái)具有數(shù)據(jù)庫(kù)服務(wù)器��,企業(yè)內(nèi)部有嚴(yán)格的運(yùn)維規(guī)范��,因此制定的業(yè)務(wù)流白名單規(guī)則包含了如下部分關(guān)鍵邏輯:
1)該WEB服務(wù)器僅能夠被互聯(lián)網(wǎng)終端通過(guò)80端口訪(fǎng)問(wèn)
2)新建連接必須從登陸頁(yè)面開(kāi)始訪(fǎng)問(wèn)
3)WEB服務(wù)器可以主動(dòng)訪(fǎng)問(wèn)內(nèi)部特定終端,禁止主動(dòng)訪(fǎng)問(wèn)互聯(lián)網(wǎng)
4)內(nèi)部運(yùn)維接口固定IP地址
5)對(duì)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)僅能通過(guò)該應(yīng)用系統(tǒng)的標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)JDBC接口進(jìn)行數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)。
任何違背以上規(guī)則的流量將觸發(fā)告警��,同時(shí)XDS產(chǎn)品會(huì)連續(xù)抓取5分鐘的流量數(shù)據(jù)供安全運(yùn)維人員分析��。
2015年11月15日��,該用戶(hù)發(fā)現(xiàn)XDS產(chǎn)品報(bào)告了一條WEB服務(wù)器對(duì)互聯(lián)網(wǎng)的一次主動(dòng)訪(fǎng)問(wèn)事件,請(qǐng)求啟明星辰安全運(yùn)維專(zhuān)家協(xié)同分析該事件。現(xiàn)場(chǎng)��,我們提取了XDS產(chǎn)品留存的5分鐘流量信息并進(jìn)行分析��,即刻發(fā)現(xiàn)了明顯的被控制特征--WEB服務(wù)器短時(shí)間內(nèi)向特定IP發(fā)送了大量的隨機(jī)報(bào)文��,隨后安全專(zhuān)家追溯了XDS產(chǎn)品的歷史事件,還原了完整的攻擊鏈條,并在WEB服務(wù)器某目錄下找到了僵尸程序��,完成了樣本的提取與清除��。攻擊鏈條如下:
2015年11月15早晨��,黑客利用Redis未授權(quán)漏洞��,通過(guò)6379端口成功入侵了該用戶(hù)的WEB服務(wù)器并植入SSH公鑰��。該行為觸發(fā)了上述第一條XDS規(guī)則,并發(fā)生了告警��。
隨后��,黑客通過(guò)SSH向WEB服務(wù)器傳遞了僵尸程序��,同樣該行為觸發(fā)了上述第一條XDS規(guī)則并產(chǎn)生告警?�?上皟蓷l告警發(fā)生時(shí)��,用戶(hù)并未關(guān)注安全狀況��,錯(cuò)失了防御的第一時(shí)間點(diǎn)。
最后黑客顯然為了進(jìn)行僵尸網(wǎng)絡(luò)的功能測(cè)試��,隨機(jī)發(fā)起了一次小規(guī)模拒絕服務(wù)攻擊��,此行為觸發(fā)了上述XDS第三條規(guī)則��。幸運(yùn)的是,此時(shí)用戶(hù)注意到了本次報(bào)警并開(kāi)始處理該事件��,防止了WEB服務(wù)器永久的成為僵尸網(wǎng)絡(luò)的一部分。
當(dāng)前黑客的組織性比以往更強(qiáng)��,對(duì)0DAY��,NDAY漏洞的利用效率極高��,通常0DAY、NDAY漏洞一旦被黑客圈掌握,在極短的時(shí)間內(nèi)就會(huì)形成有效攻擊,這導(dǎo)致了傳統(tǒng)的入侵檢測(cè)方法在漏洞剛剛被發(fā)現(xiàn)的一段時(shí)間內(nèi)是失效的��。啟明星辰新推出的XDS產(chǎn)品基于開(kāi)放式檢測(cè)架構(gòu)��,可以快速部署與用戶(hù)應(yīng)用結(jié)合的安全檢測(cè)規(guī)則��,實(shí)現(xiàn)以不變應(yīng)萬(wàn)變。該僵尸程序樣本被捕獲的當(dāng)日,啟明星辰升級(jí)了XDS產(chǎn)品的攻擊特征庫(kù)��,可以實(shí)現(xiàn)對(duì)該樣本的精確檢測(cè)��。
