【超全总结】主机安全事件的15大场景解决案例
2022-8-10 08:0:46 Author: 红队蓝军(查看原文) 阅读量:17 收藏

随着业务数字化转型,企业的业务变得越来越开放和灵活,面临的安全挑战也日益增加。在这种多变、开放的场景下,无论安全边界怎么做,都无法阻挡黑客打破边界进入企业内部来窃取核心资产。

当下安全对抗以及安全管理的核心,正逐渐从边界转移到核心服务器系统上。 当然,聚焦于主机安全领域的厂商,也受到了资本疯狂追捧。例如全球市值最高的网络安全公司CrowdStrike,年营业额约50亿人民币,当前市值却高达4000亿人民币。这家公司背后的投资机构也同样星光熠熠,包括CapitalG(谷歌资本)、Accel Partners、华平投资等众多顶级创投。这也充分证明了资本市场看好主机安全企业未来巨大的潜力。

安全正在经历一场前所未有的进化

达尔文进化论中说,进化来源于突变。这句经典的评述对于信息安全行业同样适用。那些层出不穷的未知威胁,正是进化的动力。随着新一代主机安全产品出现,让整体安全防御发生了巨大变化,主要体现在以下6个方面:

① 安全从边界走向内部,形成纵深防御,从主机系统内构建安全能力。

② 安全从粗放走向精细,对于主机资产、风险漏洞、黑客攻击等做精细化管理。

③ 安全从固化走向灵活,主机安全编排能力发展,可以迅速实现新功能扩展。

④ 安全从低效走向高效,采用由内而外的监控,让事件响应变得更加高效。

⑤ 安全从孤立走向协同,提供主机侧安全数据,让整个体系更加完整。

⑥ 安全从运维走向运营,以业务发展为基础,以事件核查为线索,以持续优化为根本。

据统计,在亚洲80%以上企业被黑客入侵后,需要数月时间才能发现入侵痕迹。如果想要了解黑客是怎么进来的,拿走了什么以及留下了什么,则还需要数周时间方能完成。此外,后期漏洞修复和处置也需要数天时间才能完成。

由此可知,传统安全事件响应周期很长,想要在入侵初期就及时发现黑客攻击更是困难。青藤云安全作为国内新一代主机安全的践行者,通过七年多时间,上亿研发投入,自主研发出了以保护“工作负载”为核心的主机自适应安全平台,致力于提升对于事件的检测、分析和响应的效率。

在这样的背景下,青藤基于多年主机安全经验,联合信通院于近期推出2022年最新版的《主机安全能力建设指南》,感兴趣的读者可扫码领取电子版方案。

扫码下载2022《主机安全能力建设指南》

该方案覆盖了主机安全的三个主要层级,包括基础级、增强级、先进级,在每个层级具备不同需求的主机安全能力。

七年匠心打造的四大核心技术

运行在产品核心平台底层的是新一代主机安全能力引擎。该引擎拥有四大核心技术,分别是Knowledge-Base、脚本引擎、QSL语言、AI增强技术。

第一个核心技术是Knowledge-Base,简称KB系统。通过该技术将安全检测目标抽象成对象,进而封装底层复杂度,使上层安全人员工作变得更简单。举个简单例子,假设Apache某个版本爆出新漏洞,安全人员需要根据版本号尽快确认受影响的资产。但是Apache自身版本以及所处的操作系统环境可能各不一样,而且不同版本的配置文件也不一样。因此,安全人员想要通过检测配置文件中的版本号来确定是否存在漏洞将会变得非常困难。但是通过青藤KB系统,可快速将Apache抽象为一个对象,那么安全人员则无需关注Apache的版本号、所处操作系统环境以及配置文件的路径。只需在编写检测脚本时,调用一个对象就能获得Apache对应版本号数值,极大减小了工作量。

第二个核心技术是脚本引擎。通过C语言和Java语言构建整个系统,但是在C语言内部支持了LUA脚本,在Java这一层支持了Python脚本。脚本引擎使得青藤产品可以实现热更新,也使产品更易扩展和发布。

第三个核心技术是QSL。这是青藤自主研发的面向安全人员的一套语法,极大提高事件分析和响应能力。

第四个核心技术是AI增强技术,基于机器学习、深度学习,从复杂的现象中提炼规律,让安全更智能。

青藤万相·主机自适应安全平台核心功能包括资产清点,风险发现、入侵检测、合规基线、病毒查杀等功能。通过底层核心引擎,实现了各功能的智能集成和协同联动。其插件化的构建方式,不仅具备灵活的扩展能力,也能实现各功能模块之间无缝联动。其分布式的部署方式,能够应对客户大量任务下发和大型攻击来临的海量数据分析处理,并始终保持稳固的性能。

主机自适应安全平台的核心功能和应用场景

01 从安全角度重新定义资产

资产是安全防护前提,安全人员只有知道自己要保护什么,才有可能把安全做好。青藤的资产清点为客户带去三大核心价值:

全自动化的资产梳理。可从正在运行的机器上反向生成CMDB,实时同步最新资产,减轻安全人员复杂的管理操作。

让保护对象清晰可见。通过超细粒度识别,大到操作系统,中到应用框架,小到代码组件都能精准发现。

安全不再落后于运维。部署青藤产品之后,安全部门手里的资产信息是整个公司最全和最准确的。

应用场景:新漏洞出现时快速定位受影响的资产

当新漏洞爆发时,青藤资产清点可快速定位受影响的资产。比如当WordPress爆发出新漏洞时,可能既没有漏洞POC也没有漏洞编号。在这种情况下如何快速定位受影响资产呢?通过青藤资产清点可快速查找WordPress资产分布在哪些业务组件里,这些业务组件是谁负责的,就能知道这个漏洞影响范围,也能迅速进行处置。

02 基于Agent风险发现,比快更快,比准更准

青藤风险发现致力于帮助用户精准发现内部风险,帮助安全团队快速定位问题并有效解决安全风险。该产品能提供详细的资产信息、风险信息以供分析和响应,能为客户提供以下三大核心价值:

准确的风险识别,白盒视角的风险发现比黑盒更准确。

基于Agent的漏洞扫描,在准确性上拥有天然优势。传统漏扫产品对资产覆盖的深度和广度不足,导致检测准确率不高。

极大提升扫描效率,在复杂环境下依然能达到极高的效率。

传统漏扫产品效率低,而基于Agent方式可快速完成全部扫描。因此,一旦出现新的漏洞可在在很短时间内完成检测工作。

自动关联资产数据,定位相关负责人以及属于何种业务。

在查到某机器上存在某个漏洞之后,可迅速知道谁负责这台机器。

应用场景1:新高危漏洞的快速应急检测

从之前攻防实战演练来看,攻方团队利用了Weblogic反序列化漏洞、JBOSS远程代码执行漏洞、Apache Axis远程命令执行漏洞等多个0Day漏洞进行攻击。通过青藤风险发现可以快速进行响应,绝大部分漏洞都可通过资产识别直接定位,对于无法识别的漏洞可以通过编写检测脚本将其配置到检测系统中即可。

应用场景2:高危漏洞的补丁识别和关联

当一个漏洞被精准定位后,青藤风险发现能够关联分析这个漏洞相关的补丁。例如,风险发现产品通过CVE编号确认所有资产中有13台机器上存在Shellshock漏洞。青藤产品不仅提供详细补丁情况,还能够检测补丁修复后是否会影响其它业务。青藤通过识别应用,加载SO和进程本身确认是否被其它业务组件调用,来判断补丁修复是否会影响其它业务。因此,在高危漏洞爆发后,青藤产品能快速帮助客户进行补丁识别和关联,并确认打补丁后是否存在风险等。

应用场景3:深度清理弱密码死角

根据权威机构调查显示,每家企业都存在大量的弱口令。但是想要发现这些弱口令并非易事,传统漏扫产品受限于暴力破解字典和时间限制很难全面发现弱口令。虽然很多客户组织了大规模的弱密码检查和修复,在部署青藤Agent后依然发现了大量的弱口令。例如,在MySQL的弱密码检测中,为客户发现了多数管理员在改密码时,只会修改其中一个可登录host的密码,对其他可登录host的密码没有进行修改,或者修改后也没有flush privileges以让新密码生效。青藤基于Agent的方式进行本地的弱密码检测,无需进行远程登录尝试,通过对各种应用进行剖析,直接从文件中去解析哈希,再对哈希做检测,不仅速度快也无死角。

应用场景4:从已经泄露的密码中反向定位影响范围

相信很多人都遇到过类似情况,某台机器被黑了,但是安全人员无法确认密码是否已泄露。通过青藤产品,只需将这个密码配到系统里,通过检测哪些机器有同样密码就可以判断哪些机器是有风险的。青藤提供了一系列定位的工具,安全和运维人员可以清晰知道哪些机器密码是需要修改的。

03 基于行为的入侵检测

青藤入侵检测,重新定义了检测引擎,通过生成很多内在指标,并且对这些指标进行持续的监控和分析,那无论黑客使用了什么漏洞、工具和方法,都会引起这些指标的变化从而被检测出来。

实时发现失陷主机:检测“成功的入侵”,抓住重点,提高效率

相比传统IDS,青藤产品报警准确率高,能够让安全的人抓住重点,解决最核心的问题。

检测未知手段的入侵:通过关系,行为特征透过表象抓住本质

以业务关系为例,一旦黑客入侵就会破坏这些关系,比如A到B之间从来没有连接,但是黑客在内网可能就从A连接到B,这一点就能暴露这个黑客。

快速的应急响应能力:能够快速收集数据和实时调查,并进行有效处置

通过Agent从机器中获取数据,然后进行持续分析处理数据,将响应时间缩短到最小。

应用场景1:利用反弹shell功能抓住Web RCE和迅速定位

如下图所示,通过反弹shell的告警邮件来分析进程信息,由此确认对应服务和了解相关漏洞。然后通过日志的审计插件可以获得访问日志详细信息,进而还原出攻击的方法和IP。此外,青藤产品还能够对RCE漏洞执行快速检测。如果将这两个功能组合在一起,几乎可以发现所有基于0Day漏洞的RCE的攻击。

应用场景2:挖矿进程的检测和迅速定位

青藤入侵检测产品,通过集成包括小红伞、ClamAV 等国内外多个主流的病毒查杀引擎,并利用青藤自研发的大数据分析、机器学习和模式行为识别等多种检测模型,为用户提供全面和实时的后门检测和防护能力。

此外,还能够提供自动化响应级别的沙箱,把任何样本丢到沙箱内部会自动输出一个处置规则,只需将这个处置规则导入系统就可以清理干净挖矿病毒。因此,被挖矿后想做应急响应,只需一个样本就能够自动生成处置规则,全自动化清理处置掉。

应用场景3:和威胁情报联动,迅速定位到具体的恶意进程

青藤万相·主机自适应安全平台通过结合威胁情报,可以直接定位到进程。比如哪个进程向外请求了黑DNS,哪个进程连接了Hash等。因此,如果将过去24小时所有对外请求过的DNS去重后排序,选择出top5对应的进程。如果其中存在一个恶意域名,就可以直接关联到对应进程。

应用场景4:发现暴力破解成功后的异常登录(机器学习)

过去想要发现黑客暴力破解密码后异常登录行为,则需要通过人工编写对应规则,确定什么是异常登录,什么是正常登录。但是,青藤已经通过机器学习的方式取代人工服务,机器自动学习登录行为,非常准确有效。

应用场景5:发现绕过堡垒机登录的不合规行为

因为堡垒机可以自动生成口令,很多企业安全人员会认为部署堡垒机之后就不存在弱口令。但是部署青藤Agent之后,通过扫描发现了大量弱口令。通过检查分析,发现很多机器没有接入堡垒机,而是绕过堡垒机。为解决该问题,只需在青藤异常登陆的产品功能页进行规则配置,就可以轻松发现有哪些机器没有通过堡垒机。

应用场景6:识别内网横向渗透和内部蠕虫传播

青藤蜜罐是复用了Agent的能力来形成的微蜜罐。在每个Agent上设置一些端口,这些端口正常情况下不会被自己员工访问。在主机内只需覆盖15%的微蜜罐范围,几乎就能100%发现内网横向渗透所有攻击。因为黑客每做一次内网探测就有15%的概率被发现,彻底解决了传统蜜罐覆盖问题。此外通过微蜜罐还能清除、定位内网的蠕虫并清除干净。

04 自定义检查标准,满足不同检查基准场景

合规标准让运维人员有了检查默认风险的标杆,但是面对网络中种类繁杂、数量众多的设备和软件,如何快速、有效地检查设备,又如何集中收集核查的结果,以及制作风险审核报告,并且最终识别那些与安全规范不符合的项目,以达到整改合规的要求,这些是网络安全运维人员面临的新的难题。

应用场景:应对等保合规检查,落实企业基线要求

通过青藤产品基线功能,能够在半小时之内把数万台机器的基线分析清楚,对于不符合要求的检测项,提供代码级的修复建议。

05 提供高价值主机层数据

安全日志是一个大数据系统,能够把主机上所有活动记录下来,并且很方便的进行分析。从安全角度引导客户对日志进行查询与分析,发现黑客入侵的蛛丝马迹,还原攻击现场。该产品基于ES系统,可在5s内获得查询结果,同时对TB级数据进行统计分析,并保证数据至少保留180天,并可导入其他系统。

应用场景1:运维操作审计,实时审计+事后排查分析

记录服务器的所有运维命令,进行存证以及实时审计。例如,实时审计运维人员在服务器上操作步骤,一旦发现不合规行为可以进行实时告警,也可以作为事后审计存证。

应用场景2:为态势感知和SOC提供关键基础数据

通过Agent采集主机上的事件,可以将数据信息对接给SOC、态势感知等产品,也可以对接给编排系统。青藤安全日志可以从主机侧提供非常独特的数据,这些数据是传统网络设备无法获取的。

应用场景3:Do everything in one line

这个应用场景的核心是通过一条命令实现复杂交互过程,如下所示:

上图所示命令包含的含义是:对24小时内机器上创建的所有进程MD5去重,再把这些MD5传给腾讯的威胁情报接口。如果发现是黑MD5,就将该进程杀死。在正常情况下,完成这一系列动作需要耗费大量时间精力。首先需要查找机器上的恶意进程,然后再跟威胁情报平台进行匹配,最后再处理恶意进程。但通过青藤提供的独特QSL语言,一句命令行就可以实现复杂过程,提高安全人员整体分析和处置的效率。

一个场景化真实案例

① 某天快到下班点,青藤的安全驻场人员突然接到产品告警,发现反弹shell和webshell,于是迅速展开排查,确定失陷主机为公司一台文档服务器。

这里补充说明下,青藤新一代主机入侵检测系统的“反弹shell”功能,可以通过对用户进程行为进行实时监控,结合异常行为识别,可发现进程中非法 Shell 连接操作产生的反弹 Shell行为,能有效感知“0Day”漏洞等利用的行为痕迹,并提供反弹 Shell 的详细进程树。

② 凭借上述产品功能,青藤主机入侵检测系统在该服务器被上传webshell之后,发现反弹shell操作如下:

③ 安全人员使用安全日志、操作审计,检查黑客操作的每一条命令,发现历史记录被黑客清空了,幸好有审计功能,默默地记录下了黑客的每一条操作。

安全人员发现黑客先利用系统漏洞进行了提权后,安装修改了一些文件,怀疑是安装rootkit系统后门,之后安全人员使用青藤入侵检测产品“系统后门”功能进行检查,发现了多个系统后门和被篡改的关键位置文件。

⑤ 通过分析,发现黑客的入侵路径来源为struts2漏洞入口,黑客上传webshell后进行提权以及安装后门操作。安全人员通过操作审计以及黑客的webshell特征,还原了黑客对主机进行的操作。

⑥ 最后,安全人员协助客户开启了端口蜜罐的功能,针对目前流行的MS17010漏洞开启了445等端口的蜜罐,并将安全人员常用的扫描器的地址加入了白名单,通过大量的部署微蜜罐,来增大内网诱捕黑客的几率。

通过上述分析,我们还原整个安全事件,发现此次事件属于典型的APT入侵攻击事件。首先黑客通过Windows后门进入内网潜伏下来,并在内网漫游找到有Web站点或有漏洞的主机并上传webshell,继而进一步通过webshell实现反弹连接,获取目标主机的shell控制权为下一步攻击做好准备。

上述整个攻击过程可以说做得滴水不漏,环环相扣。面对这种高级别攻击,传统基于规则策略的安全检测产品就形同虚设,黑客可以很轻松绕过。但是青藤新一代主机入侵检测系统可以提供多锚点的检测能力,能够实时、准确地感知入侵事件,发现失陷主机,并提供对入侵事件的响应手段,为系统添加强大的实时监控和响应能力,帮助企业有效预测风险,精准感知威胁,提升响应效率,保障企业安全的最后一公里。

如果您有关于主机安全方面的任何问题,欢迎致电400-188-9287转1,或直接扫描下方二维码,领取2022《主机安全能力建设指南》。您也可以点击“阅读原文”免费申请试用青藤的主机安全产品~

扫码下载《主机安全能力建设指南》


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDY2MTQ1OQ==&mid=2247501762&idx=1&sn=c3929379d350c00e3c5231fc6fbeebd2&chksm=ce677d7ef910f4684c72fed4eb3a6765d58949baf4cd3282745d8535a87c9c66e57a346acaae#rd
如有侵权请联系:admin#unsafe.sh