![实战笔记|深度复盘粉碎0day攻击的四个经典战例]( "实战笔记|深度复盘粉碎0day攻击的四个经典战例")
二战初期,日本零式战机一度让盟军“谈零色变”;在今天的网络安全对场战场,也有一个词语叫做“谈零色变”。
“零日漏洞”(zero-day、0day),又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性,从而成为攻击方的“撒手锏”,甚至让防守方“谈零色变”。
从近几年的实战攻防演习来看,攻击方使用的手法可以说是越来越“不留情面”、不讲武德:提前手里储备了若干0day漏洞库,演习刚开始,二话不说,直接上0day。往往演习最初几天,0day漏洞满天飞,防守方手忙脚乱,稍不留神,最初几天就可能“丢城失地”、满盘皆输。
那么,防守方面对有备而来的0day漏洞攻击,真的束手无策么?本文汇集了多位一线安服人员的实战笔记,从发现溯源处置、应用自防护、高速建模、蜜罐诱捕等角度,总结了几个成功防御0Day漏洞攻击的经典战例。
2021攻防演习期间的某一天,晚上9点半,被派去某金融业客户处执行攻防演习任务的小X正在导出一天的报表报告进行汇总,突然电脑里传出了奇安信新一代安全感知系统(以下简称:天眼)“咚咚咚”的声音,引起了小X的注意。
小X急忙打开闪烁的窗口,正是天眼后台发出的告警信息。告警信息里显示,告警的类型是web异常,威胁名称为发现疑似访问webshell后门行为。
为了避免产生更大的影响,小X立刻将可疑文件进行了隔离处理,并对文件上传过程进行了回溯分析。
小X喊来旁边的小伙伴一起对天眼全流量监控设备的日志进行分析,通过对上传请求的分析,找到了文件上传的利用方法。原来这是一个利用EMP组件上传文件的0day漏洞,且这个漏洞不需要任何授权就可以直接利用。
小X还原了攻击队的利用过程:HTTP请求中ContentType设置为“multipath/form-data”,然后提交给/Search.action, 由于该组件未校验文件类型,导致可执行脚本文件可以直接上传到服务器的特定目录。
攻击队利用这个漏洞上传冰蝎webshell,从而拿到了目标系统的控制权限。在与webshell通信的过程中,天眼通过对网络流量的深度解析与威胁检测,识别出了这种攻击行为,安服人员通过对这个告警的进一步关联分析,及时发现该金融客户存在的安全风险。
将漏洞彻底分析清楚之后,小X和小伙伴立即向客户方的技术负责人反馈了这一情况,紧急关闭目标文件夹的写入权限,断开目标服务器网络访问并关机,并对EMP组件源码进行分析,确认漏洞机制及原理,排除其他上传路径的可能。
同时,根据漏洞特征,小X紧急增加WAF拦截规则,并在全流量监控设备上增加监控策略,在HIDS上针对影响的8台主机进行专项监控。
第二天,小X和小伙伴们已经基本完成了漏洞分析和相关的应急处置工作,确认此次入侵事件没有造成更大的影响。
事后,该金融客户将防守报告通过平台提交给演习指挥部,得到了裁判组的肯定。
成功防御0day是客户对安全能力的最高期待,特别是在0day“满天飞”的实战攻防演习这一特殊高烈度场景下,更是各家安全供应商的展现实力的时候。
就在今年演习活动进行的如火如荼之时,某Weblogic T3反序列化0day漏洞横空出世。据了解,该漏洞利用T3协议和IIOP协议,可构造数据包实现远程代码执行。
这个Weblogic漏洞在参与此次演习的客户群中造成了极为广泛的负面影响。几乎所有防守方都在手忙脚乱的寻找补丁或限制T3协议访问。奇安信服务器安全管理系统(以下简称:椒图),从另一个角度切实缓解了客户的燃眉之急。
椒图的RASP(运行时应用自防护)功能是应对0day的有效手段。椒图通过hook函数的方式监控流量上下文,并在脚本解析、命令执行的关键点上判断是否为攻击行为。因此无论是已知漏洞还是0day,只要在进行危险行为,椒图均可实现拦截和告警,是真正能“防住”而不仅是发现0day的利器。
在今年演习某部委客户的业务环境中,一线安服人员在保证客户业务系统无感知的前提下, 在用户服务器端成功部署了椒图,结合使用椒图的暴露面梳理、Webshell检测、文件监控与防护、应用白名单等功能,并开启了RASP的流量落地行为实时监测,对承载重要业务系统的服务器在系统层和应用层进行加固和防护。
椒图在服务器端对异常行为出色的监测和阻断能力,结合客户自身对流量监测的分析结果,实现了共同分析、快速定位和有效处置,最终保障该部委客户在演习期间,未产生一起攻击专网成功的安全事件。
客户也对椒图给予了肯定的评价:“看来咱们椒图的功能很全面啊,我们之后也要把这个‘武器’好好用起来。”
虽然RASP是对抗0day的利器,但不是所有客户环境都能够顺利部署和开启的。如果缺少了RASP,椒图的表现又会如何?下面是另一个真实案例。
同样还是今年的攻防演习,椒图在某大型央企客户的生产环境服务器上发现了高危反弹shell攻击。一般反弹shell要利用漏洞,但因客户未成功部署RASP导致椒图无法从应用层确定其攻击方式。一线工程师只能选择从系统层进行溯源分析。
通过椒图对服务器进行监控的全量日志,安服人员帮助客户成功回溯出整个攻击流程,并据此进行漏洞复现,最终确认此漏洞为0day,并通过攻击溯源协助客户在演习中成功得分。
这是2021年4月的某一天,全国实战攻防演练活动才刚刚开始,就爆出各大热门产品的最新滚烫热辣的0day漏洞。作为一名初出茅庐蓝方防守队员,吓得我是不知所措,每天都焦虑的等待各大明星产品更新最新版的检测方案,时刻关注各种公众号、微信群和公司内部消息通知,生怕漏掉什么最新消息,没能及时更新规则库,被攻击队利用0day打进来,而自己什么都不知道。
不出意外地,一条在互联网迅速流传的0day漏洞映入安服工程师的眼帘,“某OA前台getshell成功复现” 利用细节:……。
安服随即马上询问客户资产情况,确实在使用该系统。马上点开链接查看漏洞细节,发现整个利用过程的攻击路径非常清晰明了:
第一步:获取访问权限;第二步:上传压缩包;第三步:解压缩。
一线安服人员立即与公司确认了该漏洞可信的消息,但要等最新的检测规则库出炉再更新才能获得相应的检测能力,以往的经验告诉我等待最新规则库发布的时间至少得数个小时。随即决定马上利用手里现有的武器奇安信态势感知与安全运营平台(简称:NGSOC),号称拥有高效可视化的建模功能的强大安全运营工具,来新建一个模型,检测此漏洞,防止被攻击队们打时间差。
-
-
第二步,创建三个事件过滤单元,使用WEB访问流量日志,重点检测URI的特征,分别检测漏洞利用攻击路径对应的三个URI;
-
第三步,将检测到的三个事件依次排序,在短时间内同一源IP对同一目的IP依次发生这三件事即告警。
检测模型配置完成,保存并启用,便开始实时地监测WEB访问流量数据中的漏洞利用行为。整个过程只用了3分钟,没有编写任何代码或脚本,仅仅通过页面点选的方式就完成了整个建模流程。即便对于是操作不熟练的新手最多也不会超过10分钟。
再确认模型运行状态良好,但未发现告警时,安服又去原始流量日志中回溯了一番:
通过NGSOC检索最近30天的历史WEB访问流量日志,用URI资源的特征匹配的方式,确认历史日志中未曾出现上述的可疑特征,这位安服终于放下了心。至少目前还没有受到针对此漏洞的攻击行为,心中窃喜,可能攻击队也还在研究漏洞细节,制作自动化脚本吧,而防守方已做好准备实时监测他们的到来,并同时等待公司各安全产品发布最新版规则库。
网络战场瞬息万变,补洞的速度远远赶不上新漏洞增长的速度,一个新的0day漏洞爆发出来后,防守队和攻击队拼的就是时间差,时间就是生命。
因此在如此高强度快节奏的全国性攻防实战演练中,能够拥有一款便捷高效可迅速建模的强大武器对防守方来说至关重要,可以快速帮助防守队员扭转因漏洞集中爆发带来的被动局势。
2021年实战攻防演习期间的某一天,夜里凌晨3点半,正在值夜班的小A,睡眼朦胧、一脸的倦意,正打算打开手机划划水,面前的监控页面突然发出“咚咚咚”的声音,划破办公室的沉寂,也彻底惊醒了困意中的小A。
小A速速点开“奇安信网神攻击诱捕系统”(简称:蜜罐)监控页面上闪烁着的告警信息。此时,小A心里一阵激动:自己精心准备的罐,终于有攻击方小伙伴踩进来了。
小A快速点开告警提示,告警里显示有一个内部的IP正在对我们蜜罐里布置的后台系统尝试暴力破解!原来是攻击方已经渗透进入客户的某互联网业务系统,通过这个业务系统为跳板,正在对内网进行横向渗透。攻击方正在攻击的这个系统,看似是内网的堡垒机,但其实正是防守方利用攻击诱捕系统,在客户网络内里提前设好的“陷阱”,他们“上钩”了。
小A对正在攻击蜜罐的内网IP进行了排查,发现是外网邮件系统所使用的内网地址。紧接着,小A和小伙伴一起紧急排查邮件服务器,发现邮件服务器上没有被暴力破解的痕迹,流量分析设备上也没有相关告警,那攻击者是如何进入邮件服务器的呢?
一边的小伙伴还在对邮件服务器的日志和文件进行进一步的分析,小A回到攻击诱捕系统的监控界面,发现攻击者已经猜测出堡垒机蜜罐的用户名口令,进入了后台页面。在这个后台页面上,除了放置了各种虚构的资产信息和账户信息之外,还放了一个看似是零信任客户端的安装包。这个安装包内,其实内置了一个远程控制的反制木马。小A盯紧了每一条告警信息,心里不断祈祷“下载、下载、下载…”
果然,攻击方小伙伴下载了这个安装包,小A知道,这个安装包内的反制木马测试过是可以过一些常见沙箱的,但是仍然抑制不住自己内心的紧张。平静的几分钟过去,攻击诱捕平台上的告警信息也停止了,难道是木马被沙箱告警了,蜜罐被攻击方识破了?小A时不时的关注着旁边另一台电脑上反制控制端,突然,一条上线信息刷过,攻击方小伙伴上线了。
攻击方电脑上线后,小A迅速开始对攻击方电脑内的信息进行检索,很快发现了一个名为“xyou-rce-expoit.py”文件,一边下载回本地的同时,一边上传了攻击诱捕平台内置的一个取证小工具,自动完成了对攻击者电脑的主机信息、进程信息、网络信息、桌面截屏等内容进行了取证和自动回传。
结合获取回来的poc程序,小A和小伙伴发现,攻击方掌握了一个某邮服务器的0day漏洞,在半夜2点左右的时候,利用防守队的打盹时间,成功突破的防守。小A和小伙伴结合exp里的信息,对服务器上日志也进行了定位,确认是攻击方通过这个0day漏洞入侵的。
小A和小伙伴立即向客户技术负责人反馈了这一情况,对相关邮件服务器进行紧急下线,一边复现和分析漏洞,一边并联系厂家反馈情况并了解缓解措施,同时还通知客户的下属单位和其他项目上的防守团队,紧急安排下线同款邮件服务器并迅排查是否有入侵痕迹。
经过忙碌的一整夜,第二天,小A和小伙伴们已经基本完成漏洞分析和相关的应急处置工作,确认此次入侵事件没有造成更大的影响。完成防守报告后,客户将报告通过平台提交给演习指挥部。一天之后,报告得到裁判组确认,防守队获得1000分的加分。
目前,奇安信网神攻击诱捕系统(蜜罐)已经在运营商、金融等多个行业中取得了良好的应用效果。在实战攻防演习中,成为防守队针对攻击队溯源反制而加分的重要武器。
四个应对0day漏洞攻击的故事,再次证明,0day不可怕,只要守方有方法。只要应对及时、处置得当,安服人员的经验和技术过硬,大多数利用0day漏洞的攻击,是可以粉碎的。
当然,给安服团队配备从威胁检测发现、漏洞研判、溯源分析、阻断拦截等齐备的武器,无疑是赢得攻防演习的基础和前提。
本文始发于微信公众号(奇安信安全服务):实战笔记|深度复盘粉碎0day攻击的四个经典战例
评论