首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>Exploits>文章内容
云端博弈——云安全入侵取证及思考
来源:http://www.xtiger.net/ 作者:xti9er 发布时间:2014-10-28  
云计算平台是目前比较火的产业,腾讯也有面向企业和个人的公有云平台——腾讯云。笔者所在的腾讯安全中心也负责腾讯云的部分安全职责,因为工作关系,笔者也经常处理腾讯云上的安全事件。本文通过对腾讯云上的一次入侵取证分析实际案例,以小见大来窥探云计算平台(特别是公有云)的安全建设思路,希望对大家有帮助。

 

某次接到系统报警某商户主机出现可疑文件,需配合调查。通过后台数据很快确认了问题,并结合其他取证手段捋清了整个事件。现已对腾讯云商户发布了安全预警。整个事件在技术对抗上并无可圈可点之处,但通过此类事件,发现我们不少云安全工作的问题,值得反思。

 

后台数据取证
Ø 可疑文件是一个shell脚本,它执行了下载和启动其他木马的命令


Ø查询文件生成时间和wget 关键字在后台数据中查询到是通过webserver执行的命令,也就是说可能存在web漏洞,同时因为是sudo调用的php进程所以可疑获得root权限;
Wdcp这个系统安装时会在sudoer这里设置允许wdcpu这个账户执行sudo调用前述程序。导致一个web漏洞获得了root权限,这样的方式太危险了!


 

主机取证
Ø登陆wdcp系统的DB查看这个后台管理系统的登陆记录,在前述的命令执行时间区间内我们看到了一个IP登陆了后台,但是他为什么能登陆后台呢,密码那里来的?;




Ø根据webserver的log可以看到他是通过cmd.php执行了命令,但这还解决不了前面的问题;




Ø以来访IP作为起始调查条件对web日志取证,发现一共有2个IP访问了cmd.php,而且同时还会访问/mysql/add_user.php

 

 

Ø根据网上的信息发现,整个漏洞的起因就是add_user.php,它的功能可以给mysqlDB添加账户,但它是不需要鉴权的!

Ø根据config账户的密码来看是黑客添加的无疑。

 

到这里整个入侵流程搞清楚了:

 

但这里依旧会有一个疑问,这里的攻击者到底是何许人也,腾讯云商户是被针对性攻击还是仅是漫无目的攻击的受害者?下面通过对攻击来源取证说明这个问题。

 

肉鸡取证
Ø分析木马文件,发现了木马控制主机IP

 

Ø通过技术手段,我们登陆了这台黑客的肉鸡,某国内云服务商的主机

Ø这里很清晰的看到此主机的主人即是黑客本人,整个桌面,以及几个月来,他的操作就仅限于抓取肉鸡等行为

Ø而且此时这台肉鸡还正在对外DDOS

Ø通过桌面上的黑客工具得到的管理员密码,也能确定此服务器主人就是黑客自身,惯用的密码,我们使用此密码进入管理员的会话

Ø管理员会话中,还有大量的木马控制端开启,有不少受害者


Ø根据登陆日志的记录,此来源IP即是前述腾讯云开发商被黑时的攻击来源,根据机器名判断是ADSL用户个人机(深圳宝安区电信用户)。

 


至此整个事件得以闭环。
通过取证我们还掌握了攻击者的很多信息,诸如网络上使用的一些账户,上网习惯等等留作下一步工作之用,这里暂不赘述。

云安全思考


在此事件中我们原有的安全系统未能对全部攻击步骤自主自动告警,并输出整个事件脉络,甚至有部分细节未能在安全系统中得到展现,且投入了不少人力去跟进,这值得反思。
云服务与甲方自身安全工作应该是有区别的,云商户的安全风险不等同与我们原有公司业务的安全风险。他有如下特点:

1.     对外服务特点多样,与我公司自身的web\桌面终端\游戏类业务有区别;

2.     因服务器基本由商户自己维护,ACL设置以及其他基本安全加固措施匮乏,通过弱口令等手段入侵的案例占比80%;
3.     大量使用开源系统,非自研,通过开源系统入侵的案例占比15%;
4.     从国内外的云服务提供商的案例看来,有不少云资源被恶意(黑客)用户注册使用,本次案例是一个典型的例子。
以此来看云安全的主要矛盾并非是APT检测、1day\0day漏洞检测,而是基线安全,开源系统安全问题。针对此类问题我们的入侵检测系统,取证分析系统还有大量工作要做。围绕云安全工作后续还会有一些分享,敬请期待。

from: http://security.tencent.com/index.php/blog/msg/72


 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·CVE-2012-0217 Intel sysret exp
·Linux Kernel 2.6.32 Local Root
·Array Networks vxAG / xAPV Pri
·Novell NetIQ Privileged User M
·Array Networks vAPV / vxAG Cod
·Excel SLYK Format Parsing Buff
·PhpInclude.Worm - PHP Scripts
·Apache 2.2.0 - 2.2.11 Remote e
·VideoScript 3.0 <= 4.0.1.50 Of
·Yahoo! Messenger Webcam 8.1 Ac
·Family Connections <= 1.8.2 Re
·Joomla Component EasyBook 1.1
  相关文章
·Windows TrackPopupMenu Win32k
·vBulletin Tapatalk - Blind SQL
·vBulletin 4.x Tapatalk Blind S
·CUPS Filter Bash Environment V
·Incredible PBX 2.0.6.5.0 - Rem
·Mini-stream RM-MP3 Converter 3
·HP Operations Agent Remote XSS
·IBM Tivoli Monitoring 6.2.2 kb
·Creative Contact Form (Wordpre
·MAARCH 1.4 - Arbitrary File Up
·Windows OLE - Remote Code Exec
·Joomla RD Download SQL Injecti
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved