【应急响应】redis未授权访问致远程植入挖矿脚本(完结篇)

1 前面两篇尚未完结续,本篇继续

在上上篇【应急响应】redis未授权访问致远程植入挖矿脚本(防御篇)中,从防御的角度详细描述了常规应急响应以及流程。

在上一篇【应急响应】redis未授权访问致远程植入挖矿脚本(攻击篇)中,从日志等入侵痕迹中分析,寻求突破,以一个攻击者的角度还原redis攻击,从未授权访问到写入ssh公钥直至控制整台服务器,进一步确定此次勒索事件的根本原因。

如果是在乙方安全公司,应急响应的工作已经基本结束,剩下的就是交付给用户报告并帮助其修复漏洞。但到了甲方,可以说安全相关工作刚开始不久,对于非巨头或非大型互联网公司,特别是苦于在安全工作上难以推动的企业而言,那便是非常不错的契机。

本篇继续“纵向”和“横向”对此次应急响应事件进行展开,不仅要完成“救火”,更要想到主动去发现火种苗头。

2 牵一发而动全身,纵向深入业务

经过综合的分析与评估,就几台开发环境中的redis服务器被植入挖矿脚本,再也没有找到其他被入侵的痕迹。相关人员也及时处理了恶意脚本、按照安全配置规范对redis进行了加固。

就应急响应工作而言,可能该做的已经做好了,足以应对并向领导交差。但是如果从挖洞的角度来考虑,不难会有以下思考:

1)厂商是否真的修复了呀,会不会有遗漏?

2)厂商是否指哪儿打哪儿,其资产内其他redis服务器应该会存在类似的安全问题?

其中折射出不少常规甲方安全工作问题:

1)一个简单的漏洞涉及部门较多,很可能需要较长时间修复,有时相关技术人员对安全风险的理解不够到位,原本以为已经完美修复实则存有缺陷,这似乎也跟安全人员的综合能力以及安全部门的地位息息相关。如果是在甲方工作的同学,肯定深有体会,漏洞明明还存在,但是开发就是斩钉截铁的说按照修复意见完成修复。

2)又或许是处于安全人员自身素质与安全危机感不够全面的缘故,同一企业中的安全漏洞往往是相似的。如果在某几个应用中发现类似的安全缺陷,那么极有可能就是通病,所以针对redis未授权访问这一缺陷对相关网段扫描或许会有惊喜。

大家都知道攻易守难,攻击者随意找一处企业的漏洞就可能对企业造成巨大伤害。反观防守就需要面面俱到,涉及到的面非常广,需要做到的点远超安全人员手里的资产也是常见的事情。

针对上面提及的两个思考,更加说明甲方的安全人员需要将“安全事件进行到底!”。

2.1 资产搜集

最高效的方法便是从运维童鞋处,获取公司所有对外网段:如果是要求提供所有系统的地址以及服务,对他们而言难度和工作量可能会比较大,但若想要网段的时候还是比较easy。

2.2 服务识别

为了更高效和快速对漏洞(redis未授权访问)进行全网排查,需要对搜集的资产进行服务识别,专门验证redis服务相关的IP地址。自然而然想到的便是端口扫描:nmap、、IP Scanner、Advanced Port Scanner、masscan等利器,若要想有一个不错的展示平台还是推荐巡风(内嵌masscan),然而将上面的资产格式似乎不是巡风能接受的样子:

需要将ip/mask转化为ip地址段,使用IPy中的IP模块即可实现。

#!/usr/bin/env python# -*- coding:utf-8 -*-# Author : aerfa# Function:根据IP与掩码计算输出网段,比如:192.168.0.1/24 ==》 192.168.0.1-192.168.0.255,适用于巡风资产发现时导入 from IPy import IP f = open("IPs.txt", "r") #运维同学提供的IP与掩码lines = f.readlines()#print linesf.close() with open("NewIps.txt", "w") as fp: #转换生成适合巡风的网段 for line in lines: NewIp = IP(line).strNormal(3) fp.write(NewIp + '\n')print "OK!"

将网段粘贴进资产网络探测列表中更新,进行筛选后即可获取开放redis服务的主机,比如使用banner:redis进行筛选:

2.3 漏洞扫描

同样地,可以通过以添加插件的形式进行快速批量漏洞扫描,目前巡风作者已经写出相关插件(参考

https://github.com/ysrc/xunfeng/blob/master/vulscan/vuldb/crack_redis.py)。

def check(ip, port, timeout): try: socket.setdefaulttimeout(timeout) s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((ip, int(port))) s.send("INFO\r\n") result = s.recv(1024) if "redis_version" in result: return u"未授权访问" elif "Authentication" in result: for pass_ in PASSWORD_DIC: s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((ip, int(port))) s.send("AUTH %s\r\n" % (pass_)) result = s.recv(1024) if '+OK' in result: return u"存在弱口令,密码:%s" % (pass_) except Exception, e:pass

3 借势而为之,横向开展安全工作

当我们面对安全事件的时候,有时候不仅要将“安全事件进行到底!”,也应该将“安全事件的效果发挥到极致!”。不能老想着吐槽公司领导看似挺重视安全的,实则没有重点关注过安全部门,没有资源没有赋予足够的权利去推行安全工作,或者是安全leader缺乏魄力之类的外在原因。

3.1 工作思路

与其不满,不如改变。对于甲方安全人员而言,个人认为:(仅跟作者所处的公司安全环境相关,每个人的肯定会不太一样)可以承受且没有对公司造成重大损失的安全事件,未必是一件坏事儿。能及时、合理、充分的对待-处置安全事件,不仅有技术能力方面的要求,更需要安全智慧。

首先,我们能想到的:

  • 深入分析入侵痕迹,不留残留;
  • 积极主动防御,早日跳出“救火”的坑;

其次,我们更应该有意识的往“安全事件推动安全工作开展”方向靠拢。因为在现实工作环境中,安全人员常常遇到:

  • 开发对安全漏洞不服气但怕担责任;
  • 说入侵不懂,说安全事件造成的危害和损失秒懂;
  • 谈防御措施,有可能嫌麻烦不愿意或不积极支持。

3.2 实践方向

为了有效利用此次“redis未授权访问致远程植入挖矿脚本”安全事件,可以组织相关开发、运维等人员参加事件的全程剖析与分享,让大家知道安全的重要性以及忽略安全的危害性。

其次将其展开至正在推动的项目、尚未进行的项目以及类似redis配置不规范导致的安全漏洞,这里不由得引出之前的【漏洞赏析】安全运维那些洞,结合自家的应用情况开展批量已知漏洞检测,稍微更加全面的提升该方面的安全水平。

原文发布于微信公众号 - 我的安全视界观(CANI_Security)

原文发表时间:2018-01-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

【连载】2016年中国网络空间安全年报(二)

2016年中国网络空间安全年报 日前,由安恒信息风暴中心策划编撰的《2016年中国网络空间安全年报》重磅发布。《2016年中国网络空间安全年报》旨在从安全大数...

3146
来自专栏黑白安全

海康威视摄像头、DVR账户远程劫持漏洞

很多人用安全摄像头都不带改默认管理员用户名和口令的——意味着只要知道去看哪儿,这些人的生活就是一场持续的现场直播。尽管海康威视在2017年1月引入了Hik-Co...

1012
来自专栏FreeBuf

境外“暗黑客栈”组织对国内企业高管发起APT攻击

当你启程前往伊萨卡,但愿你的道路漫长,充满奇迹,充满发现——卡瓦菲斯(希腊)。 以此纪念2015,即将逝去的中国威胁情报元年。 0x00摘要 Adobe于12月...

1925
来自专栏青枫的专栏

这些网站,99%人用过都说是神器,还不收藏!

—— 由谷歌开发的一个基于AI分析并猜出你要画什么的平台,是原先“你画我猜”的升级版,让你从现有图库里找出最符合脑中形象的图案。

723
来自专栏FreeBuf

揭秘盗取“羊毛党”比特币的钓鱼攻击事件 | 一例C2服务器跟踪分析报告

1 概述 行文之前先界定两个概念。 羊毛党,指关注与热衷于“薅羊毛”的群体,是指那些专门选择企业的营销活动、广告投放等,以低成本甚至零成本来换取高额奖励的人。早...

3747
来自专栏FreeBuf

Fireball恶意程序已袭击全球将近2.5亿台PC,背后推手是一家中国电子营销机构

Check Point研究人员最近发现了一款传播范围极广的恶意软件,感染的计算机数量高达2.5亿,包括Windows和macOS。这款恶意软件被命名为Fireb...

21510
来自专栏FreeBuf

翻墙?隐私?今天聊聊VPN的那些事儿

三年前斯诺登泄密事件揭露的东西,从安全的角度看对互联网服务提供商来讲并没有太多的帮助,甚至可以说做的有些过火。同时也模糊了反恐政策的概念。 而当新闻爆出像NSA...

6906
来自专栏新智元

微软谷歌再曝 CPU 新漏洞,Intel、AMD、Arm 全部遭殃

1422
来自专栏玄魂工作室

安全快讯合集

1.Google Tracks Android, iPhone Users Even With 'Location History' Turned Off

821
来自专栏Crossin的编程教室

电脑小白如何不被“勒索”

最近上了各大头条的勒索病毒我想大家都有所耳闻。不幸中招的朋友,请允许我拍拍你的肩膀。设身处地地想一下,眼看就要毕业了,结果论文没了……换了谁都不能忍啊。可是你也...

2629

扫码关注云+社区