Kate Li (Taiwan)的部落格

首頁

雲端博弈——雲安全入侵取證及思考

作者 lace 時間 2020-03-14
all

    云計算平臺是現時比較火的產業,騰訊也有面向企業和個人的公有雲平臺——騰訊雲。筆者所在的騰訊安全中心也負責騰訊雲的部分安全職責,因為工作關係,筆者也經常處理騰訊雲上的安全事件。本文通過對騰訊雲上的一次入侵取證分析實際案例,以小見大來窺探云計算平臺(特別是公有雲)的安全建設思路,希望對大家有幫助。

某次接到系統報警某商戶主機出現可疑檔案,需配合調查。通過後臺數據很快確認了問題,並結合其他取證手段捋清了整個事件。現已對騰訊雲商戶發佈了安全預警。整個事件在科技對抗上並無可圈可點之處,但通過此類事件,發現我們不少雲安全工作的問題,值得反思。

後臺數據取證

Ø 可疑檔案是一個shell腳本,它執行了下載和啟動其他木馬的命令

Ø査詢檔案生成時間和wget關鍵字在後臺數據中査詢到是通過webserver執行的命令,也就是說可能存在web漏洞,同時因為是sudo調用的php行程所以可疑獲得root許可權;

Wdcp這個系統安裝時會在sudoer這裡設定允許wdcpu這個帳戶執行sudo調用前述程式。導致一個web漏洞獲得了root許可權,這樣的管道太危險了!

 

主機取證

Ø登入wdcp系統的DB查看這個後臺管理系統的登入記錄,在前述的命令執行時間區間內我們看到了一個IP登入了後臺,但是他為什麼能登入後臺呢,密碼那裡來的?;

 

Ø根據webserver的log可以看到他是通過cmd.php執行了命令,但這還解决不了前面的問題;

 

Ø以來訪IP作為起始調查條件對web日誌取證,發現一共有2個IP訪問了cmd.php,而且同時還會訪問/mysql/add_user.php

 

Ø根據網上的資訊發現,整個漏洞的起因就是add_user.php,它的功能可以給mysqlDB添加帳戶,但它是不需要鑒權的!

Ø根據config帳戶的密碼來看是駭客添加的無疑。

 

到這裡整個入侵流程搞清楚了:

 

但這裡依舊會有一個疑問,這裡的攻擊者到底是何許人也,騰訊雲商戶是被針對性攻擊還是僅是漫無目的攻擊的受害者?下麵通過對攻擊來源取證說明這個問題。

肉雞取證

Ø分析木馬檔案,發現了木馬控制主機IP

 

Ø通過科技手段,我們登入了這臺駭客的肉雞,某國內雲服務商的主機

Ø這裡很清晰的看到此主機的主人即是駭客本人,整個案頭,以及幾個月來,他的操作就僅限於抓取肉雞等行為

Ø而且此時這臺肉雞還正在對外DDOS

Ø通過案頭上的駭客工具得到的管理員密碼,也能確定此服務器主人就是駭客自身,慣用的密碼,我們使用此密碼進入管理員的會話

Ø管理員會話中,還有大量的木馬控制端開啟,有不少受害者

 

 

Ø根據登入日誌的記錄,此來源IP即是前述騰訊雲開發商被黑時的攻擊來源,根據機器名判斷是ADSL用戶個人機(深圳寶安區電信用戶)。

 

      至此整個事件得以閉環。通過取證我們還掌握了攻擊者的很多資訊,諸如網絡上使用的一些帳戶,上網習慣等等留作下一步工作之用,這裡暫不贅述。

雲安全思考

      在此事件中我們原有的安全系統未能對全部攻擊步驟自主自動告警,並輸出整個事件脈絡,甚至有部分細節未能在安全系統中得到展現,且投入了不少人力去跟進,這值得反思。

雲服務與甲方自身安全工作應該是有區別的,雲商戶的安全風險不等同與我們原有公司業務的安全風險。他有如下特點:

1.    對外服務特點多樣,與我公司自身的web\案頭終端\遊戲類業務有區別;

2.    因服務器基本由商戶自己維護,ACL設定以及其他基本安全加固措施匱乏,通過弱口令等手段入侵的案例占比80%;

3.    大量使用開源系統,非自研,通過開源系統入侵的案例占比15%;

4.    從國內外的雲服務提供者的案例看來,有不少雲資源被惡意(駭客)用戶註冊使用,本次案例是一個典型的例子。

以此來看雲安全的主要衝突並非是APT檢測、1day\0day漏洞檢測,而是基線安全,開源系統安全問題。針對此類問題我們的入侵偵測系統,取證分析系統還有大量工作要做。圍繞雲安全工作後續還會有一些分享,敬請期待。