前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >技术干货|新型漏洞威胁攻防思路拆解

技术干货|新型漏洞威胁攻防思路拆解

原创
作者头像
腾讯安全
发布2022-09-23 14:27:28
6510
发布2022-09-23 14:27:28
举报
文章被收录于专栏:腾讯安全

新型网络安全漏洞伴随着5G、AI、云计算、大数据等新技术的应用而出现,相较于传统漏洞,新型漏洞藏匿于技术底层,易造成全局性影响且完全修复的难度大,一旦被恶意利用,成为网络攻击源,将带来严重后果。

Ivanti发布的2021年《勒索软件指数聚焦年终报告》显示,在2021年之前发现的223个旧漏洞中,有56%仍在被勒索软件集团频繁利用。面对层出不穷、不断迭代的新型漏洞攻击,该如何实现有效防御?攻破漏洞防御难点?

9月15日,腾讯安全举办了《新型漏洞威胁攻防思路拆解》主题公开课,邀请到Pwn2Own世界冠军战队成员、腾讯安全技术专家尹亮,腾讯安全技术专家赵中树两位专家,分享了腾讯安全漏防护新思路,同时通过真实案例重现漏洞攻击场景,并提前剧透腾讯安全RASP+泰石引擎漏洞防护方案,以期帮助企业更好地实现漏洞防御。

以下为重点演讲内容:

重保期间新型漏洞攻击案例拆解

01 案例一:Log4j漏洞攻击

Apache的开源项目log4j是一个功能强大的日志组件,提供非常方便的日志记录功能。由于各种业务、运营软件在正常运行时都会或多或少的去打一些日志,因此log4j被大量的企业和系统使用。据数据统计显示,开源组件里有近两万的项目使用存在log4j漏洞的模块,该漏洞的影响面十分广泛,是一个核弹级的漏洞。

一种可能的攻击方式是:攻击者访问了业务的某个URL,在User-Agent中夹带了用于攻击的字符串。业务代码在处理这个请求时,通过调用log4j相关类和方法,把User-Agent中的攻击字符串打到日志里面,然后进一步进入到Java里面的LDAP的处理流程中去。

Java在处理LDAP时,会去访问攻击者控制的LDAP服务器,接下来进一步访问攻击者控制的HTTP服务器,下载攻击者预先编译好的内存马class文件并加载起来,在注入内存马之后,攻击者就能控制整个服务器,可以实现任意命令执行以及窃取服务器上的敏感信息。

通过WAF拦截log4j漏洞攻击流量时,它的攻击字符串能产生非常多的变化,技术能力一般的WAF很难完全处理这些变化,因此大家在选安全产品时,一定要选技术能力雄厚、有保障的安全产品。

02 案例二:文件上传攻击

在RFC2046规范里面,对文件上传数据包中各个字段的长度、内容等做了定义,但实际上各种web服务器并不完全按照RFC规范去解析,对各个字段的处理就有区别了。文件上传攻击的重点在于构造出WAF无法正常解析、但是后端web服务器能够正常解析的文件上传数据包。

在重保期间,通过信息收集获取到某个管理系统的地址,该登录页面可以用匿名手机号注册,登录系统后发现其中某个功能点存在文件上传漏洞,通过对上传数据包中Boundary、filename两个字段做各种变化和测试,最终绕过某个WAF,成功上传JSP WebShell。

03 案例三:内存马注入

内存马是无文件攻击的一种常用手段,核心原理就是动态地将恶意的组件添加到正在运行的服务器中。以java为例,客户端发起的web请求会依次经过Listener、Filter、Servlet三大核心组件,传统的java内存马就注入到这三大组件中,最近还新出现了有Valve、WebSocket等类型的内存马,通过访问内存马,攻击者可实现任意命令执行和敏感信息窃取,更加方便地控制服务器。

04 案例四:高版本Confluence OGNL表达式注入

confluence是一个专业的企业知识管理与协同软件,可以用于构建企业wiki。通过它可以实现团队成员之间的协作和知识共享,已经在超过100个国家,一万多个组织中成功地应用于企业内网平台支持管理及文档管理。

在实际案例中,通过探测发现某公司Confluence的补丁打的不全,但是现有的、通用公开的、回显型命令执行payload却无法触发,通过调试分析发现,Confluence在高版本中新添加了一个沙箱,在执行OGNL表达式之前,会拆解OGNL表达式,里面调用的静态方法、访问的属性、变量、常量都会去过黑名单,以此判断OGNL表达式的安全性。

但这是一种静态的检查,可以用动态的方法去绕,一种可能的方法是把黑名单中的字符串拆成两个,然后通过+号做拼接。这样就可以让现有的payload重新利用起来。

05 如何保障业务安全?

上述四个案例只展现了网络攻击的一小部分,然而,互联网上的攻击者往往躲在暗处,带着漏洞呼啸而至,他们也有着自身独有的一些攻击思路和方法,绕过各种防御机制实施攻击,给云上业务带来巨大的威胁。如何在不重启业务和不影响业务正常运行的情况下,精确地抵御漏洞已成为关键,腾讯安全RASP+泰石引擎漏洞防护方案可为企业带来新的思路。

腾讯漏洞防护新思路

腾讯安全技术专家赵中树,随后围绕漏洞防护背景、腾讯安全漏洞防御新思路和相关实战案例带来分享。

06 漏洞防护背景剖析

漏洞管理流程主要包含漏洞感知、漏洞分析、漏洞扫描、漏洞修复。漏洞感知方面,云镜集成了漏洞感知系统,实现从流量层面、主机异常行为层面感知新爆发漏洞的利用,同时腾讯安全团队拥有世界顶级漏洞挖掘专家去挖掘高危漏洞;漏洞分析层面则通过搭建漏洞环境、重现漏洞现场、分析漏洞成因、开发检测POC实现;漏洞扫描层面通过网络侧POC和主机侧POC检测漏洞,评估漏洞影响面;在弄清漏洞原理之后则会尝试在环境中去修复漏洞。

云原生时代,应用大都构建在大量开源组件之上,在海量开源组件、漏洞频发的场景中,传统热补丁技术并不适用。传统补丁存在的5大问题表现在补丁修复操作繁琐,修复过程存在兼容性隐患;漏洞问题层出不穷,频繁打补丁工作成本加大;零日漏洞加速出现,厂商提供补丁更新包却滞后;老旧系统无补丁更新,即便有用户也不敢去升级;以及老旧系统缺乏维护。

常规补丁尝试修复有问题的代码,虚拟补丁尝试拦截有问题的输入。虚拟补丁的防护策略则是根据位置的不同,分为以云防火墙、WAF为代表的网络侧的虚拟补丁,以及主机侧的虚拟补丁。网络侧的补丁流量牵引成本高、东西向风险不好解,输入流量到业务具体漏洞函数时,路径比较长,经过各种变形、encoding,特征不好提,误报、漏报问题不好解,同时HTTPS、非HTTP协议覆盖不到。在这种情况下,主机侧的虚拟补丁作为网络侧虚拟补丁的一个补充,二者结合,可以让云原生漏洞防御体系更加完备。

07 腾讯新思路:RASP+泰石引擎方案

RASP+泰石引擎方案将于9月21日正式对外发布,其具备“0day原生免疫”,“创新精准防御技术”,“创新免重启技术、即刻防御、业务不中断”,“1000万核历炼,稳定性99.999%”四大核心亮点,当前已灰度500名客户,上线以来100%防御log4j等漏洞攻击。

RASP+泰石引擎方案产品架构以主机安全Agent方式,注入防御插件到业务进程,管理插件生命周期、部署虚拟补丁,实现漏洞防御效果。在防御能力方面,可针对常见攻击行为做拦截,也可针对特定漏洞做精准拦截。

RASP+泰石引擎方案的优势首先体现在免重启零配置,可实现一键启停漏洞防御,无需用户配置接入的应用、无需用户修改应用启动参数,且启停过程无需重启业务进程,同时防御插件自动升级,不影响业务的正常运行;第二大优势便是防御插件覆盖广,支持JDK1.6及以上版本、支持主流Java应用框架,一个Agent进程同时支持主机、容器内应用;第三大优势则是防御插件体积小、风险低,使得插件占用的内存低、加载速度快,同时引入的三方组件少;第四大优势体现在防御插件性能损耗低,泰石引擎采用了无解释性的规则引擎,从而避免了在运行的过程中去动态做语法的解析和跨语言的调用,进而降低性能上的损耗。

08 漏洞防御实战案例

从某公司confluence漏洞被利用,某事业单位shiro漏洞被攻击,以及log4j漏洞防御实战案例来看,通过分析攻击者发送的请求中包含的表达式,发现其通过nslookup去做DNS回显,案例中各种绕过技巧,泰石防御引擎都能实现防护,在于该方案监控点离漏洞触发位置更近,拿到的特征也更准。

直播互动与提问

提问一:对于这些漏洞的防御都是基于hook的什么函数?泰石引擎方案支持对什么类型的漏洞做防护?

尹亮:这需要根据具体的漏洞去做具体的分析。按照前面所讲,漏洞类型主要分为两类,一类是比较通用的,例如各种表达式漏洞,针对这一类攻击可以用通用的补丁去做防御,另外针对特定的漏洞,则是利用专用的补丁去做防御,java类的90%以上的这种攻击,泰石引擎都可以覆盖到。

提问二:相比传统厂商,腾讯的方案有哪些差异和优势?

赵中树:传统厂商的传统补丁,一般是厂商针对自身应用去做修复进而提供新的版本,腾讯的方案的差异和优势在于,一方面通过通用的补丁针对漏洞攻击去做防御,另一方面会结合厂商提供的补丁去做分析,然后集成到防御引擎中。其最大的优势在于不会影响业务,不涉及更改业务的代码、逻辑及执行的流程,仅通过针对一些关键的有问题、有漏洞的函数的入口去做校验,进而去拦截恶意的输入,实现防御。

以上是本次《新型漏洞威胁攻防思路拆解》公开课两位专家观点的精华整理。腾讯安全作为国内领先的安全厂商,一直以来都通过输出安全产品和攻防经验,帮助企业建立完善的安全防护体系。

在应对漏洞威胁方面,腾讯安全主机安全旗舰版具备漏洞管理功能,可实现分钟级漏洞检测效率,在优化扫描性能的同时提升精准度;即将于9月21日首度公开亮相的RASP+泰石引擎方案,可助力企业高效防御新型漏洞。未来,腾讯安全还将继续打磨安全工具,更好地夯实数字化转型的安全底座。

腾讯安全RASP+泰石引擎方案将于明日正式发布,欢迎感兴趣的同学扫码关注最新动态。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
漏洞扫描服务
漏洞扫描服务(Vulnerability Scan Service,VSS) 是一款自动探测企业网络资产并识别其风险的产品。依托腾讯二十年累积的安全能力,漏洞扫描服务能够对企业的网络设备及应用服务的可用性、安全性与合规性等进行定期的安全扫描、持续性风险预警和漏洞检测,并且为企业提供专业的修复建议,降低企业安全风险。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档