绿盟安全事件响应观察处置过程

结论建议

结论：
\1. 攻击者通过 ThinkPHP 远程命令执行漏洞获取了 web
shell，从而实现挂马。建议：

1. 在不影响业务的前提下，更新 ThinkPHP 至最新版
   本；1. 部署安全设备
   ，如 WAF、IPS 等，用于阻断安全攻击；1. 定期对 WEB系统进行备份；
2. ThinkPHP 漏洞分析：

入侵事件应急案例

1. 背景介绍
   2019 年 08 月，客户收到信息安全邮件告警，内部主机（172.*.*.101）对堡垒机进行多次暴力破解。 排查发现该主机 /tmp 目录存在 frpc 等内网渗透工具，并且主机与公网 IP 地址建立了连接关系。因此， 管理员对该主机进行了紧急下线。

处置过程

1. 与相关人员沟通得知，互联网无法直接访问到内部主机（172.*.*.101），因此怀疑存在其他主
   机被黑客当作跳板。通过查看内部安全设备，确认 08 月 07 日，仅（172. *.*.11）（172. *.*.59）（172. *.*.112）三台主机登录过（172. *.*.101），因此，对以上三台主机展开调查。
2. 经过确认，（172. *.*.11、172. *.*.59）两台主机未发现异常，均为运维人员的正常操作，但在（172.
   *.*.112）主机 secure 日志中发现该主机 SSH服务被大量暴力破解，并且成功登录，源 IP为（172. *.*.103）：
   图 5.35 secure 日志记录
   3.（172. *.*.103）为一台 Windows 主机，通过查看 IE浏览器的历史记录发现，该主机曾经下载过“超 级弱口令检查工具”、“暴力破解字典”等黑客工具，由以上妥协的指标（IOCs）确定，该主机已沦陷。
   图 5.36 IE 历史记录
   \4. 由于超级弱口令检查工具仅有图形化版本，猜测攻击者曾通过 3389 远程登陆到该主机（172. *.*.103）。于是对该主机安全事件日志进行分析，确认从 08 月 05 日 -08月 07 日，仅源地址为（172. *.*.105） 的主机成功登陆过。
   图 5.37 主机安全事件日志
3. 对（172. *.*.105）主机进行分析，发现该主机 /tmp 目录下存在大量的黑客工具，包括“frpc”、
   “1.py（端口扫描脚本）”等。
   图 5.38 大量黑客工具
4. 经过多维度分析，该主机上最早的妥协的指标（IOCs）为 /var/log/cron 日志中的一条反弹 shell
   记录――每 3 分钟反弹一次 shell 到公网 IP（54. *.*.207）：
   图 5.39 /var/log/cron 日志
5. 通过对主机开放端口查看，发现主机开启了 Tomcat、Redis、SSH 等服务。且在 /var/spool/
   cron/root 文件中发现了上述的反弹 shell 命令。
   图 5.40 反弹 shell 命令
6. 并且，该文件首行为“REDIS”关键字，此为典型的 Redis 未授权访问漏洞反弹 shell 的利用手法。
   图 5.41 文件首行有“REDIS”字样
7. 因此，可以确定，攻击者通过 Redis 未授权访问漏洞写入计划任务反弹 shell 控制了（172. *.*.105）
   主机。
8. 登陆负载均衡查看端口映射，发现最外侧负载公网 IP（211. *.*.151）映射给内网应用 F5 VSIP
   （172. *. *.12），在应用负载访问（172. *. *.105）时通过 AutoMap NAT 转换为 F5 的接口地址（172. *. *.6）为源去访问（172. *. *.105）。即内网主机（172. *. *.105）被全端口映射到公网 IP（211. *. *.151）。 因此，可以确定，内网主机为（172. *. *.105）最初沦陷的主机。
   攻击者攻击路径总结如下
   图 5.42 攻击路径图
   5.4.3 结论建议
   结论：
   \1. 经过排查，确认攻击者通过 Redis 未授权访问漏洞控制了企业暴露在公网的一台服务器（172.*. *.105），并以此为跳板，通过 frpc、超级弱口令检查工具、Nmap 等黑客工具攻击并控制了内 网多台主机。
   建议：
9. 技术方面：
   根据排查结果，发现攻击者通过 3389、SSH 弱口令控制内网多台机器。因此，建议对主机口 令进行加强，并建议对于不同主机使用不同口令。
   对于 Redis 未授权访问漏洞，建议如下：

1. 禁止使用 root 用户启用 Redis 服务；
2. 为 Redis 添加密码验证；
3. 修改 redis.conf 文件，添加 bind 127.0.0.1 配置项，禁止外网访问 Redis。

2. 安全管理：
   建立相应制度，对内部资产进行管理。对于端口映射等操作，需经过必要的流程。同时对不再 使用的主机，IP 进行及时回收，关闭映射。

安全建议

安全建议
我们通过对大量安全事件源头进行分析，发现绝大多数的事件均与企业的网络安全基础防护与管理 制度有关，由此我们整理了以下安全防护建议，可供参考：

1. 人员安全意识培养
   有研究报告显示，网络攻击源头有六成左右是来自企业内部，而绝大部分内部攻击则是由于员工被 外部攻击者利用、控制导致。在信息技术高度发达的今天，攻击者可攻击的途径包括：钓鱼邮件、水坑 网站、手机短信、社交软件、公共 Wi-Fi等，企业可通过定期的安全意识培训、应急演练，对全员的安 全防范意识水平进行检验。
2. 加强口令复杂度管理
   有史以来，弱口令一直是一个老生常谈的问题，是最容易被企业忽，同时也是最受攻击者青睐的 漏洞。对于企业所有 IT资产均需要制定并执行统一的口令复杂度配置标准，避免出现弱口令、通用口 令或规律口令，企业可通过制定相关安全规范、业务上线流程、基线配置核查等多种手段进行规避。
3. 定期做好重要数据备份
   近年来，勒索软件作为一种直接利益驱使的攻击手段，由于其具有攻击效果显著、攻击成本低、交 易匿名性等特点，使它备受攻击者青睐。同时由于其传播渠道众多，企业或个人在做好基础安全防护的 同时，数据备份则是最行之有效的对抗方案，企业可通过私有云、存储设备、网络同步等方式，定期对 重要业务数据进行备份并妥善保管。
4. 加强漏洞生命周期管理
   网络攻击手段和安全漏洞公布可以用日新月异来形容，这也是网络安全区别于一些传统行业的显著 特征。企业应将漏洞管理作为一项持续化、日常化的工作，并制定详细流程，包括：开发规范、漏洞获 取、漏洞排查、漏洞修复、漏洞验证等，同时还应定期通过灰盒安全测试，主动发现系统、应用及网络 中存在的安全漏洞隐患。
5. 加强网络边界资产管理
   我们在多个典型安全事件案例中发现，攻击者通过攻击网络边界资产，并以此为跳板对内部网络进 行了横向扩展攻击，最终造成了重大影响。企业网络边界资产由于部分业务暴露在互联网，往往会被攻 击者作为突破企业安全防护的首要目标。企业可通过安全域划分、防火墙 ACL细化、应用漏洞防护等
   手段加强网络边界管理。
6. 互联网敏感信息泄露排查
   信息收集作为黑盒测试流程中的重要一环，对安全测试的最终结果起着至关重要的作用。攻击者除 了会利用搜索引擎、大数据收集目标企业互联网暴露资产外，还会通过网盘、文库、GitHub 等渠道收 集泄露的敏感信息，如：邮箱口令、数据库配置、应用系统源码等。企业应建立起长效机制，在通过管 理制度约束员工行为的同时，还需要通过技术手段，监测互联网敏感信息的暴露。
7. 关注供应链攻击安全风险
   供应链攻击作为一种高度隐蔽的攻击方式，最终可能影响数十万甚至上亿的目标用户。企业面对的 供应链风险主要存在于设备采购、软件开发、产品交付、系统运维等多个阶段，IT供应链安全是一套涉 及面广且复杂的体系，在任何一个阶段出现问题势必都会影响供应链上下游安全，企业应通过建立产品 采购及供应链厂商管理制度、建立健全应用开发生命周期安全管理制度、建立上下游安全威胁通报机制 等多种手段，及时掌握应用及产品安全风险，提升沟通协调及应急处置效率。
8. 部署威胁溯源审计平台
   单点部署的安全设备，由于无法做到统一管理分析，往往无法及时发现有效的攻击事件，同时在事 后由于缺失日志、样本等关键数据，无法做进一步溯源分析。对于安全防护要求较高的业务系统，可通 过部署态势感知平台，结合威胁情报数据，及时发现恶意网络攻击，此外全流量存储分析平台，可为企 业提供未知攻击捕获及安全事件攻击溯源能力。

绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、数据分析实验室和物联网安全实验室， 关注云安全、容器安全、威胁情报、数据驱动安全、物联网安全和区块链等领域。作为“中关村科技园区海淀园 博士后工作站分站”的重要培养单位之一，与清华大学进行博士后联合培养，科研成果已涵盖各类国家课题项目、 国家专利、国家标准、高水平学术论文、出版专业书籍等。我们持续探索信息安全领域的前沿学术方向，从实践出发， 结合公司资源和先进技术，实现概念级的原型系统，进而交付产品线孵化产品并创造巨大的经济价值。

绿盟应急响应团队（NSFOCUS Incident Response Team,NIRT）是一支常年研究安全技术、实时跟踪安全动 态的专业团队，核心专家多次参与国家重大活动保障及应急支撑工作，对各类安全漏洞和应急事件均有成熟的分 析方法和丰富的处置经验。分布全国的攻防应急团队成员，实现了应急服务对全行业、全事件的覆盖，并能以小 时级的响应速度，协助客户抑制损失、根除隐患、恢复业务。同时绿盟科技具有国家级应急支撑单位及工业信息 安全应急支撑单位资质，可面向客户提供后门提取、样本分析、日志分析、数据恢复、攻击溯源、应急演练、应 急培训等多种应急服务。

参考资料

绿盟 2019年安全事件响应观察报告

友情链接

福建省大数据发展条例 2021