技术干货｜新型漏洞威胁攻防思路拆解

新型网络安全漏洞伴随着5G、AI、云计算、大数据等新技术的应用而出现，相较于传统漏洞，新型漏洞藏匿于技术底层，易造成全局性影响且完全修复的难度大，一旦被恶意利用，成为网络攻击源，将带来严重后果。

Ivanti发布的2021年《勒索软件指数聚焦年终报告》显示，在2021年之前发现的223个旧漏洞中，有56%仍在被勒索软件集团频繁利用。面对层出不穷、不断迭代的新型漏洞攻击，该如何实现有效防御？攻破漏洞防御难点？

9月15日，腾讯安全举办了《新型漏洞威胁攻防思路拆解》主题公开课，邀请到Pwn2Own世界冠军战队成员、腾讯安全技术专家尹亮，腾讯安全技术专家赵中树两位专家，分享了腾讯安全漏防护新思路，同时通过真实案例重现漏洞攻击场景，并提前剧透腾讯安全RASP+泰石引擎漏洞防护方案，以期帮助企业更好地实现漏洞防御。

以下为重点演讲内容：

01 案例一：Log4j漏洞攻击

Apache的开源项目log4j是一个功能强大的日志组件，提供非常方便的日志记录功能。由于各种业务、运营软件在正常运行时都会或多或少的去打一些日志，因此log4j被大量的企业和系统使用。据数据统计显示，开源组件里有近两万的项目使用存在log4j漏洞的模块，该漏洞的影响面十分广泛，是一个核弹级的漏洞。

一种可能的攻击方式是：攻击者访问了业务的某个URL，在User-Agent中夹带了用于攻击的字符串。业务代码在处理这个请求时，通过调用log4j相关类和方法，把User-Agent中的攻击字符串打到日志里面，然后进一步进入到Java里面的LDAP的处理流程中去。

Java在处理LDAP时，会去访问攻击者控制的LDAP服务器，接下来进一步访问攻击者控制的HTTP服务器，下载攻击者预先编译好的内存马class文件并加载起来，在注入内存马之后，攻击者就能控制整个服务器，可以实现任意命令执行以及窃取服务器上的敏感信息。

通过WAF拦截log4j漏洞攻击流量时，它的攻击字符串能产生非常多的变化，技术能力一般的WAF很难完全处理这些变化，因此大家在选安全产品时，一定要选技术能力雄厚、有保障的安全产品。

02 案例二：文件上传攻击

在RFC2046规范里面，对文件上传数据包中各个字段的长度、内容等做了定义，但实际上各种web服务器并不完全按照RFC规范去解析，对各个字段的处理就有区别了。文件上传攻击的重点在于构造出WAF无法正常解析、但是后端web服务器能够正常解析的文件上传数据包。

在重保期间，通过信息收集获取到某个管理系统的地址，该登录页面可以用匿名手机号注册，登录系统后发现其中某个功能点存在文件上传漏洞，通过对上传数据包中Boundary、filename两个字段做各种变化和测试，最终绕过某个WAF，成功上传JSP WebShell。

03 案例三：内存马注入

内存马是无文件攻击的一种常用手段，核心原理就是动态地将恶意的组件添加到正在运行的服务器中。以java为例，客户端发起的web请求会依次经过Listener、Filter、Servlet三大核心组件，传统的java内存马就注入到这三大组件中，最近还新出现了有Valve、WebSocket等类型的内存马，通过访问内存马，攻击者可实现任意命令执行和敏感信息窃取，更加方便地控制服务器。

04 案例四：高版本Confluence OGNL表达式注入

confluence是一个专业的企业知识管理与协同软件，可以用于构建企业wiki。通过它可以实现团队成员之间的协作和知识共享，已经在超过100个国家，一万多个组织中成功地应用于企业内网平台支持管理及文档管理。

在实际案例中，通过探测发现某公司Confluence的补丁打的不全，但是现有的、通用公开的、回显型命令执行payload却无法触发，通过调试分析发现，Confluence在高版本中新添加了一个沙箱，在执行OGNL表达式之前，会拆解OGNL表达式，里面调用的静态方法、访问的属性、变量、常量都会去过黑名单，以此判断OGNL表达式的安全性。

但这是一种静态的检查，可以用动态的方法去绕，一种可能的方法是把黑名单中的字符串拆成两个，然后通过+号做拼接。这样就可以让现有的payload重新利用起来。

05 如何保障业务安全？

上述四个案例只展现了网络攻击的一小部分，然而，互联网上的攻击者往往躲在暗处，带着漏洞呼啸而至，他们也有着自身独有的一些攻击思路和方法，绕过各种防御机制实施攻击，给云上业务带来巨大的威胁。如何在不重启业务和不影响业务正常运行的情况下，精确地抵御漏洞已成为关键，腾讯安全RASP+泰石引擎漏洞防护方案可为企业带来新的思路。

腾讯安全技术专家赵中树，随后围绕漏洞防护背景、腾讯安全漏洞防御新思路和相关实战案例带来分享。

06 漏洞防护背景剖析

漏洞管理流程主要包含漏洞感知、漏洞分析、漏洞扫描、漏洞修复。漏洞感知方面，云镜集成了漏洞感知系统，实现从流量层面、主机异常行为层面感知新爆发漏洞的利用，同时腾讯安全团队拥有世界顶级漏洞挖掘专家去挖掘高危漏洞；漏洞分析层面则通过搭建漏洞环境、重现漏洞现场、分析漏洞成因、开发检测POC实现；漏洞扫描层面通过网络侧POC和主机侧POC检测漏洞，评估漏洞影响面；在弄清漏洞原理之后则会尝试在环境中去修复漏洞。

云原生时代，应用大都构建在大量开源组件之上，在海量开源组件、漏洞频发的场景中，传统热补丁技术并不适用。传统补丁存在的5大问题表现在补丁修复操作繁琐，修复过程存在兼容性隐患；漏洞问题层出不穷，频繁打补丁工作成本加大；零日漏洞加速出现，厂商提供补丁更新包却滞后；老旧系统无补丁更新，即便有用户也不敢去升级；以及老旧系统缺乏维护。

常规补丁尝试修复有问题的代码，虚拟补丁尝试拦截有问题的输入。虚拟补丁的防护策略则是根据位置的不同，分为以云防火墙、WAF为代表的网络侧的虚拟补丁，以及主机侧的虚拟补丁。网络侧的补丁流量牵引成本高、东西向风险不好解，输入流量到业务具体漏洞函数时，路径比较长，经过各种变形、encoding，特征不好提，误报、漏报问题不好解，同时HTTPS、非HTTP协议覆盖不到。在这种情况下，主机侧的虚拟补丁作为网络侧虚拟补丁的一个补充，二者结合，可以让云原生漏洞防御体系更加完备。

07 腾讯新思路：RASP+泰石引擎方案

RASP+泰石引擎方案将于9月21日正式对外发布，其具备“0day原生免疫”，“创新精准防御技术”，“创新免重启技术、即刻防御、业务不中断”，“1000万核历炼，稳定性99.999%”四大核心亮点，当前已灰度500名客户，上线以来100%防御log4j等漏洞攻击。

RASP+泰石引擎方案产品架构以主机安全Agent方式，注入防御插件到业务进程，管理插件生命周期、部署虚拟补丁，实现漏洞防御效果。在防御能力方面，可针对常见攻击行为做拦截，也可针对特定漏洞做精准拦截。

RASP+泰石引擎方案的优势首先体现在免重启零配置，可实现一键启停漏洞防御，无需用户配置接入的应用、无需用户修改应用启动参数，且启停过程无需重启业务进程，同时防御插件自动升级，不影响业务的正常运行；第二大优势便是防御插件覆盖广，支持JDK1.6及以上版本、支持主流Java应用框架，一个Agent进程同时支持主机、容器内应用；第三大优势则是防御插件体积小、风险低，使得插件占用的内存低、加载速度快，同时引入的三方组件少；第四大优势体现在防御插件性能损耗低，泰石引擎采用了无解释性的规则引擎，从而避免了在运行的过程中去动态做语法的解析和跨语言的调用，进而降低性能上的损耗。

08 漏洞防御实战案例

从某公司confluence漏洞被利用，某事业单位shiro漏洞被攻击，以及log4j漏洞防御实战案例来看，通过分析攻击者发送的请求中包含的表达式，发现其通过nslookup去做DNS回显，案例中各种绕过技巧，泰石防御引擎都能实现防护，在于该方案监控点离漏洞触发位置更近，拿到的特征也更准。

提问一：对于这些漏洞的防御都是基于hook的什么函数？泰石引擎方案支持对什么类型的漏洞做防护？

尹亮：这需要根据具体的漏洞去做具体的分析。按照前面所讲，漏洞类型主要分为两类，一类是比较通用的，例如各种表达式漏洞，针对这一类攻击可以用通用的补丁去做防御，另外针对特定的漏洞，则是利用专用的补丁去做防御，java类的90%以上的这种攻击，泰石引擎都可以覆盖到。

提问二：相比传统厂商，腾讯的方案有哪些差异和优势？

赵中树：传统厂商的传统补丁，一般是厂商针对自身应用去做修复进而提供新的版本，腾讯的方案的差异和优势在于，一方面通过通用的补丁针对漏洞攻击去做防御，另一方面会结合厂商提供的补丁去做分析，然后集成到防御引擎中。其最大的优势在于不会影响业务，不涉及更改业务的代码、逻辑及执行的流程，仅通过针对一些关键的有问题、有漏洞的函数的入口去做校验，进而去拦截恶意的输入，实现防御。

以上是本次《新型漏洞威胁攻防思路拆解》公开课两位专家观点的精华整理。腾讯安全作为国内领先的安全厂商，一直以来都通过输出安全产品和攻防经验，帮助企业建立完善的安全防护体系。

在应对漏洞威胁方面，腾讯安全主机安全旗舰版具备漏洞管理功能，可实现分钟级漏洞检测效率，在优化扫描性能的同时提升精准度；即将于9月21日首度公开亮相的RASP+泰石引擎方案，可助力企业高效防御新型漏洞。未来，腾讯安全还将继续打磨安全工具，更好地夯实数字化转型的安全底座。

腾讯安全RASP+泰石引擎方案将于明日正式发布，欢迎感兴趣的同学扫码关注最新动态。