2015年11月16日，國內著(zhù)名安全研究團隊啟明星辰積極防御實(shí)驗室成功捕獲了國內首例利用Redis漏洞實(shí)現的DDOS僵尸網(wǎng)絡(luò )控制樣本。自Redis漏洞被公布以來(lái)，網(wǎng)絡(luò )空間出現了大量利用該漏洞的攻擊事件，但利用該漏洞快速部署僵尸程序，并通過(guò)僵尸網(wǎng)絡(luò )實(shí)施高強度的分布式拒絕服務(wù)攻擊還是首例。

深厚的攻防技術(shù)積累與全新的檢測產(chǎn)品-XDS有效協(xié)同是本次樣本被捕獲的關(guān)鍵。

我們在某企業(yè)客戶(hù)IT系統現場(chǎng)捕獲了該僵尸程序樣本，并幫助該用戶(hù)成功清除了該僵尸程序,這得益于該用戶(hù)部署了XDS產(chǎn)品。在XDS產(chǎn)品上線(xiàn)之時(shí)，啟明星辰安全運維專(zhuān)家協(xié)助用戶(hù)，結合該用戶(hù)IT環(huán)境特征與應用系統的邏輯特征制定了相應的應用異常檢測規則，其中：WEB服務(wù)器業(yè)務(wù)流白名單是本次樣本捕獲的關(guān)鍵規則集。該WEB服務(wù)器對互聯(lián)網(wǎng)提供某種數據服務(wù)，后臺具有數據庫服務(wù)器，企業(yè)內部有嚴格的運維規范，因此制定的業(yè)務(wù)流白名單規則包含了如下部分關(guān)鍵邏輯：

1）該WEB服務(wù)器僅能夠被互聯(lián)網(wǎng)終端通過(guò)80端口訪(fǎng)問(wèn)

2）新建連接必須從登陸頁(yè)面開(kāi)始訪(fǎng)問(wèn)

3）WEB服務(wù)器可以主動(dòng)訪(fǎng)問(wèn)內部特定終端，禁止主動(dòng)訪(fǎng)問(wèn)互聯(lián)網(wǎng)

4）內部運維接口固定IP地址

5）對數據庫的訪(fǎng)問(wèn)僅能通過(guò)該應用系統的標準數據庫訪(fǎng)問(wèn)JDBC接口進(jìn)行數據庫訪(fǎng)問(wèn)。

任何違背以上規則的流量將觸發(fā)告警，同時(shí)XDS產(chǎn)品會(huì )連續抓取5分鐘的流量數據供安全運維人員分析。

2015年11月15日，該用戶(hù)發(fā)現XDS產(chǎn)品報告了一條WEB服務(wù)器對互聯(lián)網(wǎng)的一次主動(dòng)訪(fǎng)問(wèn)事件，請求啟明星辰安全運維專(zhuān)家協(xié)同分析該事件?，F場(chǎng)，我們提取了XDS產(chǎn)品留存的5分鐘流量信息并進(jìn)行分析，即刻發(fā)現了明顯的被控制特征--WEB服務(wù)器短時(shí)間內向特定IP發(fā)送了大量的隨機報文，隨后安全專(zhuān)家追溯了XDS產(chǎn)品的歷史事件，還原了完整的攻擊鏈條，并在WEB服務(wù)器某目錄下找到了僵尸程序，完成了樣本的提取與清除。攻擊鏈條如下：

2015年11月15早晨，黑客利用Redis未授權漏洞，通過(guò)6379端口成功入侵了該用戶(hù)的WEB服務(wù)器并植入SSH公鑰。該行為觸發(fā)了上述第一條XDS規則，并發(fā)生了告警。

隨后，黑客通過(guò)SSH向WEB服務(wù)器傳遞了僵尸程序，同樣該行為觸發(fā)了上述第一條XDS規則并產(chǎn)生告警?？上皟蓷l告警發(fā)生時(shí)，用戶(hù)并未關(guān)注安全狀況，錯失了防御的第一時(shí)間點(diǎn)。

最后黑客顯然為了進(jìn)行僵尸網(wǎng)絡(luò )的功能測試，隨機發(fā)起了一次小規模拒絕服務(wù)攻擊，此行為觸發(fā)了上述XDS第三條規則。幸運的是，此時(shí)用戶(hù)注意到了本次報警并開(kāi)始處理該事件，防止了WEB服務(wù)器永久的成為僵尸網(wǎng)絡(luò )的一部分。

當前黑客的組織性比以往更強，對0DAY，NDAY漏洞的利用效率極高，通常0DAY、NDAY漏洞一旦被黑客圈掌握，在極短的時(shí)間內就會(huì )形成有效攻擊，這導致了傳統的入侵檢測方法在漏洞剛剛被發(fā)現的一段時(shí)間內是失效的。啟明星辰新推出的XDS產(chǎn)品基于開(kāi)放式檢測架構，可以快速部署與用戶(hù)應用結合的安全檢測規則，實(shí)現以不變應萬(wàn)變。該僵尸程序樣本被捕獲的當日，啟明星辰升級了XDS產(chǎn)品的攻擊特征庫，可以實(shí)現對該樣本的精確檢測。

啟明星辰XDS安全事件分析團隊