趙明

2015年11月16日，國內(nèi)著名安全研究團(tuán)隊(duì)啟明星辰積極防御實(shí)驗(yàn)室成功捕獲了國內(nèi)首例利用Redis漏洞實(shí)現(xiàn)的DDoS僵尸網(wǎng)絡(luò)控制樣本。自Redis漏洞被公布以來，網(wǎng)絡(luò)空間出現(xiàn)了大量利用該漏洞的攻擊事件，但利用該漏洞快速部署僵尸程序，并通過僵尸網(wǎng)絡(luò)實(shí)施高強(qiáng)度的分布式拒絕服務(wù)攻擊還是首例。

深厚的攻防技術(shù)積累與全新的檢測產(chǎn)品——XDS有效協(xié)同是本次樣本被捕獲的關(guān)鍵。

啟明星辰在某企業(yè)客戶IT系統(tǒng)現(xiàn)場捕獲了該僵尸程序樣本，并幫助該用戶成功清除了該僵尸程序，這得益于該用戶部署了XDS產(chǎn)品。

在XDS產(chǎn)品上線之時(shí)，啟明星辰安全運(yùn)維專家協(xié)助用戶，結(jié)合該用戶IT環(huán)境特征與應(yīng)用系統(tǒng)的邏輯特征制定了相應(yīng)的應(yīng)用異常檢測規(guī)則，其中：Web服務(wù)器業(yè)務(wù)流白名單是本次樣本捕獲的關(guān)鍵規(guī)則集。該Web服務(wù)器對互聯(lián)網(wǎng)提供某種數(shù)據(jù)服務(wù)，后臺具有數(shù)據(jù)庫服務(wù)器，企業(yè)內(nèi)部有嚴(yán)格的運(yùn)維規(guī)范，因此制定的業(yè)務(wù)流白名單規(guī)則包含了如下部分關(guān)鍵邏輯：

1）該Web服務(wù)器僅能夠被互聯(lián)網(wǎng)終端通過80端口訪問。

2）新建連接必須從登陸錄頁面開始訪問。

3）Web服務(wù)器可以主動訪問內(nèi)部特定終端，禁止主動訪問互聯(lián)網(wǎng)。

4）內(nèi)部運(yùn)維接口固定IP地址。

5）對數(shù)據(jù)庫的訪問僅能通過該應(yīng)用系統(tǒng)的標(biāo)準(zhǔn)數(shù)據(jù)庫訪問JDBC接口進(jìn)行數(shù)據(jù)庫訪問。

任何違背以上規(guī)則的流量將觸發(fā)告警，同時(shí)XDS產(chǎn)品會連續(xù)抓取5分鐘的流量數(shù)據(jù)供安全運(yùn)維人員分析。

2015年11月15日，該用戶發(fā)現(xiàn)XDS產(chǎn)品報(bào)告了一條Web服務(wù)器對互聯(lián)網(wǎng)的一次主動訪問事件，請求啟明星辰安全運(yùn)維專家協(xié)助分析該事件。現(xiàn)場，啟明星辰提取了XDS產(chǎn)品留存的5分鐘流量信息并進(jìn)行分析，即刻發(fā)現(xiàn)了明顯的被控制特征——Web服務(wù)器短時(shí)間內(nèi)向特定IP發(fā)送了大量的隨機(jī)報(bào)文，隨后安全專家追溯了XDS產(chǎn)品的歷史事件，還原了完整的攻擊鏈條，并在Web服務(wù)器某目錄下找到了僵尸程序，完成了樣本的提取與清除。攻擊鏈條如下：

2015年11月15早晨，黑客利用Redis未授權(quán)漏洞，通過6379端口成功入侵了該用戶的Web服務(wù)器并植入SSH公鑰。該行為觸發(fā)了上述第一條XDS規(guī)則，并發(fā)生了告警。

隨后，黑客通過SSH向Web服務(wù)器傳遞了僵尸程序，同樣該行為觸發(fā)了上述第一條XDS規(guī)則并產(chǎn)生告警?？上皟蓷l告警發(fā)生時(shí)，用戶并未關(guān)注安全狀況，錯(cuò)失了防御的第一時(shí)間點(diǎn)。

最后，黑客顯然為了進(jìn)行僵尸網(wǎng)絡(luò)的功能測試，隨機(jī)發(fā)起了一次小規(guī)模拒絕服務(wù)攻擊，此行為觸發(fā)了上述XDS第三條規(guī)則。幸運(yùn)的是，此時(shí)用戶注意到了本次報(bào)警并開始處理該事件，防止了Web服務(wù)器永久的成為僵尸網(wǎng)絡(luò)的一部分。

當(dāng)前黑客的組織性比以往更強(qiáng)，對0DAY，NDAY漏洞的利用效率極高，通常0DAY、NDAY漏洞一旦被黑客圈掌握，在極短的時(shí)間內(nèi)就會形成有效攻擊，這導(dǎo)致了傳統(tǒng)的入侵檢測方法在漏洞剛剛被發(fā)現(xiàn)的一段時(shí)間內(nèi)是失效的。啟明星辰新推出的XDS產(chǎn)品基于開放式檢測架構(gòu)，可以快速部署與用戶應(yīng)用結(jié)合的安全檢測規(guī)則，實(shí)現(xiàn)以不變應(yīng)萬變。該僵尸程序樣本被捕獲的當(dāng)日，啟明星辰升級了XDS產(chǎn)品的攻擊特征庫，實(shí)現(xiàn)了對該樣本的精確檢測。