↑ 点击上方“安全狗”关注我们
近年来,随着攻防演练的不断开展,攻防技术水平不断加强。攻击方开始采取更为高明的新型攻击方式,如0day漏洞攻击、无文件攻击、内存webshell等基于内存的攻击手段,这使得传统的依赖文件落地后进行的webshell和二进制恶意代码检测手段逐渐失效,防守方的难度逐渐加大。从近两年的攻防演练来看,无文件powershell和冰蝎成为攻击方手里的“王牌手段”,通过在内存中注入webshell或二进制恶意程序,在执行后不会留下任何痕迹,使其难以被检测和清除,从而达到破坏系统、提升特权的目的。新型攻击方法的运用,使得(云)主机面临更大的安全威胁。
安全狗(云)工作负载安全产品-云眼主机入侵监测及安全管理系统新版本V4.2版本针对新型网络攻击行为,增加了内存马检测技术,可支持多种类型的内存马检测,能做到当攻击者利用内存马对企业发起攻击时,及时检测发现,帮助检测者深入到内存中检测异常行为,实现更高的检出率和更低的误报率,形成在应用层、系统层、硬件层有机结合的立体防护。同时,V4.2新版本新增支持进程行为监控功能,可以对进程基本信息及关键行为信息进行采集和发现,尤其是利用进程发起的恶意攻击行为,如powershell恶意命令执行、提权工具、进程注入等行为的检测。另外,新版本还增加了蜜罐诱捕功能,采用欺骗防御技术有效提升面对新型攻击手段的检测效率。
欺骗技术在Gartner 发布的2018年10大战略技术之一的CARTA(持续自适应风险与信任评估)中作为重要手段之一。安全狗云眼V4.2版本蜜罐诱捕模块支持主机蜜罐功能以及主机蜜罐与蜜罐集群联动功能,用户可以根据需要选择。
云眼主机蜜罐功能通过部署在服务器上的轻量化Agent,开放主机的特定端口作为蜜罐,让主机对各蜜罐端口进行监听,一旦发现攻击者尝试连接的行为,就会实时报警。云眼采用真实主机作为蜜罐诱饵,通过消耗小而覆盖面广的蜜罐配置,发现攻击行为的概率就会大大提升。
蜜罐联动则是指主机蜜罐与蜜网联动。蜜网支持模拟攻击者常利用的服务和漏洞,如http,mysql等,也就是诱饵。当主机蜜罐被攻击者扫描或尝试连接时,攻击流量将会被引导到蜜网中,模拟真实服务的交互欺骗攻击者。通过主机蜜罐功能构建起主动防御的战场,将攻击者引诱到有利于防守方的蜜网环境中,在欺骗同时通过录屏记录其攻击行为以便分析和溯源。除此之外,蜜网采用虚拟化+容器技术防止向下穿透,VLAN隔离+虚拟网络技术防止攻击横向移动,可以杜绝蜜罐被攻击者利用而威胁到真实的业务环境。
传统安全产品与蜜罐诱捕的对比
传统安全产品 |
蜜罐诱捕 |
基于签名、特征、规则,无法抵御未知威胁; |
基于欺骗的行为判断,可识别任何已知和未知的威胁; |
无法完全消除误报; |
0误报,有告警就是入侵; |
仅仅作用于攻击的某个过程和阶段; |
能够作用于攻击的任何过程和阶段; |
事后取证,证据易被篡改; |
实时取证并证据固定,无法篡改; |
难以攻击溯源。 |
支持攻击溯源。 |
安全狗蜜罐诱捕的产品原理:
图1
图2
内存马是无文件攻击的一种常用手段,通过在内存中植入恶意后门或木马并执行,达到远程控制WEB服务器的目的。它是攻击者在“后门阶段”的一种利用方式。按攻击者的攻击套路顺序,“后门阶段”一般是在攻击者“拿到访问权”或是“提权”之后的高频攻击手法“权限维持”。随着攻防演练范围的扩大、攻防双方博弈的升级,传统的文件上传的webshell或以文件形式驻留的后门越来越容易被检测到,而由于内存马等无文件攻击在利用的过程中不会有文件落地,给检测带来巨大难度,因此基于内存马的攻击愈加频繁。
在攻击者通过容器漏洞或应用漏洞注入内存马后,可在所访问任意url或者指定url中带上命令执行参数,进而在服务器执行系统命令。以Java为例,客户端发起的WEB请求可能会经过Listener、Filter、Servlet等组件,攻击者只要在这个请求的过程中做手脚,在内存中修改已有的组件或者动态注册一个新的组件,插入恶意的代码,即可达到目的。
安全狗云眼V4.2版本内存马检测支持定时或即时检测注入进程的内存马,包括Listener、Filter、Servlet等内存马类型,并支持JSP和agent注入两种检测引擎。
图3
在网络攻防对抗中,进程监控有着举足轻重的作用,几乎任何一种病毒木马、WEB中间件远程命令执行漏洞的成功利用都和进程有着千丝万缕的联系,安全工程师通过对进程的进程信息进行采集,分析进程行为以发现潜在攻击行为。然而,系统中一天内能运行成千上万的进程,哪些是正常的进程?哪些是异常的进程?哪些又是黑客伪装或是修改后的进程?就算是再专业的安全工程师面对成千上万台服务器上运行的海量进程也是无从下手,因此亟需有一款专业的入侵检测工具来协助安全工程师对进程的行为进行实时的监控及处置。
安全狗云眼新发布的V4.2版本中新增支持进程行为监控功能,支持对进程基本信息及关键行为信息等多个维度进行采集,包括进程名称、进程文件路径、运行进程所属用户、进程MD5值、进程命令行、进程树等,可通过指定进程树上的起始进程、终点进程、以及中间各层级的进程进行规则配置、进程与进程维度之间支持“and”、“or”、“not”等逻辑判断关系。用户可根据实际需要进行进程监控规则创建:
图4-1
图4-2
同时进程监控功能模块内置有数百条系统规则,覆盖了ATT&CK攻击矩阵中14个阶段常见的攻击战术和WEB RCE(远程命令执行) 漏洞利用的检测,包括:密码查看工具、提权工具、隧道工具、端口扫描工具、进程注入工具、计划任务、远程管理、获取交互式命令行界面、Windows远程执行下载命令、Windows白名单进程利用、永恒之蓝漏洞利用等等;WEB RCE漏洞利用的规则包括:Java反序列化远程命令执行漏洞、redis远程命令执行漏洞、IIS远程命令执行漏洞、apache2远程命令执行漏洞、php-fpm远程命令执行漏洞及常见厂商的远程命令执行漏洞等。用户可以通过系统内置一键发起进程行为监控:
图5
同时支持监控策略创建下发,可对不同业务的主机进行批量差异化的监控项下发。
信创产业作为“新基建”的重要内容正在飞速发展,与此同时信创平台的网络安全性问题也不容忽视。安全狗作为国内领先的云安全解决方案提供商,坚持自主研发和国产化路线,积极推动产品与信创平台兼容适配。
目前,安全狗一体化云工作负载安全系列产品已实现对飞腾、兆芯、海光、鲲鹏等CPU以及银河麒麟、中标麒麟、中科红旗、普华、凝思、统信操作系统UOS等主流信创平台的全面兼容适配。经过严格测试,安全狗云工作负载安全产品整体运行稳定,功能、兼容性等各方面表现卓越,可以满足用户需求。
目前安全狗一体化云工作负载已在客户侧投入稳定运行,为信创生态网络安全保驾护航。
- END -
