Sızıntıdan kurtulun, Alibaba Cloud Security'nin varsayılan savunması açığa çıktı | Çin'in BT teknolojisi evriminin altını sorun
Yazar | Huang Xiaokun Alibaba Bulut Güvenliği Mühendisi
Teşekkür | Fan Wu Alibaba Cloud Kıdemli Güvenlik Mühendisi,
Guo Weibo Alibaba Cloud Kıdemli Güvenlik Mühendisi
Editör | Tu Min
Giderek daha fazla kurum buluta gittikçe, kurumsal bulutlaştırmanın getirdiği gelişme ve değişiklikleri derinlemesine fark ettik ve bulutta yerel güvenliğin getirdiği değer giderek netleşti. Alibaba Cloud, ülke çapındaki web sitelerinin% 40'ını kapsayan bir platform olarak her gün bulut platformunun güvenliğini sağlama sorumluluğunu üstlenirken, aynı zamanda işletmeleri ürün ve hizmetler şeklinde bu yerel yeteneklerle güçlendiriyor. Alibaba Cloud, "varsayılan güvenliği" sonuna kadar uygulayacak varsayılan bir savunma ekibine sahiptir, bu da bulutu daha güvenli hale getirmek için bulut platformuna güvenlik genlerini aşıladığımız anlamına gelir. Alibaba Bulut Güvenliği, müşterilerin ve bulut platformlarının genel kurumsal güvenlik düzeyini iyileştirmek için birlikte inşa etmelerine olanak tanıyan zengin güvenlik ürünleri ve hizmetleri sunar.
Alibaba Cloud Security'nin varsayılan savunma ekibi, verileri otomatik olarak tanır ve müdahale eder. 184 İki ülke tarafından başlatılan altı milyar saldırı, bulut kiracı hizmetlerinin sorunsuz çalışmasını başarıyla sağladı. Peki kullanıcılar bulutta neler yaşadı? Saldırganların sürekli değişen yöntemleri nelerdir? Varsayılan savunma ekibi doğru bir şekilde nasıl tespit eder ve müdahale eder? Aşağıda bir örnek verelim Tek tek Herkese duyurulur.
Şiddetli saldırı ve defansif çatışma
Double 11'in arifesinde, Alibaba Bulut Güvenliği'nin varsayılan savunma ekibi tarafından dağıtılan bal küpü böyle bir saldırı mesajını yakaladı. Saldırgan, Docker'ın uzaktan komut yürütme güvenlik açığına yetkisiz erişimini saldırı için kullanmaya çalıştı.Saldırganın, iplogger'ı kullanarak kurbanın ip adresini kaydettiği ve aynı zamanda ix.io'dan bir komut dosyası talep edip çalıştırdığı mesajından anlaşılıyor.
POST /v1.24/containers/create HTTP / 1.1 Kullanıcı-Aracı: Go-http-client / 1.1 {"Ana Bilgisayar Adı" ...... "Cmd":, "Resim": "alp" .......Bu betiğin içeriğini takip ederek, bazı komutların Alibaba Cloud'un ilgili hizmetlerini kapatmak ve Alibaba Cloud'un ana bilgisayar tarafı güvenlik ürünü Anknight'ı kaldırmak için kullanıldığını görebilirsiniz.Amaç çok açık ve Alibaba Cloud güvenlik algılamasından kaçınmak. Buna ek olarak, bu komut dosyası, sonraki şifresiz oturum açma için ssh'a ortak anahtarı yazacak, sürekli saldırılar için zamanlama görevlerini yazacak, kaynakları serbest bırakmak için ortak hizmetleri kapatacak, madencilik yazılımını kar için indirecek, ikincil izinsiz girişleri önlemek için DNS çözümünü değiştirecek, vb. . Saldırı başarılı olduğunda, sunucu normal işine ek olarak ciddi şekilde etkilenecek ve hatta sunucunun sahipliği başkalarına aktarılacaktır. Varsayılan savunma, ilgili toplu saldırı yöntemlerini ve saldırı gruplarını otomatik olarak algılar ve ilk saldırı gerçekleştiğinde bunları başarılı bir şekilde durdurarak kullanıcıların çift 11'i geçebilmelerini sağlar.
Saldırılara ilişkin içgörüler edinin
Günlük Alibaba Cloud platformu güvenlik güvence sürecimizde, saldırganların kullandığı saldırı yöntemlerinin de sürekli ortaya çıktığını ve değiştiğini gördük. Karşı önlemlerin sürekli artmasıyla, bilgisayar korsanlığı ve siyah-gri üretim faaliyetleri daha organize ve profesyonel hale geldi.
Saldırı bağlantısı
Aşağıdaki şekil, kötü niyetli bir grubun tipik tüm saldırı sürecini göstermektedir.Çoğu saldırgan, genel güvenlik açıklarını (örneğin, Windows Ebedi Mavi güvenlik açıkları, vb.) Veya bulut bileşeni güvenlik açıklarını (Redis yetkisiz erişim, Struts2 uzaktan Komut yürütme, vb.) Ve saldırmak için hizmet hesabı parolalarının kaba kuvvetle kırılması, böylece kötü niyetli komutları yürütmek için toplu halde bulut ana bilgisayar izinleri elde edilir. Bu kötü amaçlı talimatlar, genellikle saldırgan grubun sunucularından kötü amaçlı komut dosyalarını veya yürütülebilir dosyaları indirmek ve ardından bunları çalıştırmak içindir. Kötü amaçlı komut dosyaları genellikle üç işlev parçası içerir: iletişim bakımı CC modülü (takip için DD oS, komut dosyası güncellemesi veya diğer talimatlar), madencilik modülü, solucan tarama modülü (tarama dışında, enfeksiyon kapsamını genişletme).
Tüm siyah ve gri mülkiyet ve suç grubu saldırıları amaçlıdır ve asıl amaç kar elde etmektir. Monero, benzersiz anonim para niteliklerine ve optimize edilmiş CPU mimarisine sahip olduğundan, bulut barındırma senaryoları için son derece uygundur, bu nedenle suç çetelerinin kar için madencilik yapmaları için ilk tercih haline gelmiştir.
Saldırganın geliri, virüs bulaşmış ana bilgisayarların sayısıyla doğrudan ilişkili olduğundan, sonuçları genişletmek için, kötü amaçlı komut dosyalarının ve kötü niyetli Truva atlarının teslimi daha solucan benzeri olma eğilimindedir. Solucan tabanlı saldırılar, kötü amaçlı programların yayılmasını büyük ölçüde artırmıştır ve hatta işletmenin tüm intraneti, normal iş operasyonlarını ciddi şekilde etkileyerek madencilik makinelerine indirgenebilir.
Birbirinizle rekabet edin
Normal iş rekabeti gibi, siyah ve gri ürünler ile kötü niyetli gruplar arasında da rekabet eden ilişkiler vardır. Güvenlik açığından etkilenen bir bulut ana bilgisayarı kötü niyetli bir grup tarafından başarıyla saldırıya uğradıktan sonra, başka bir grup saldırgan tarafından yeniden saldırıya uğrayabilir. İkincisinin davranışı muhtemelen eski kişinin mali yolunu engelleyecektir, bu nedenle siyah ve gri ürünler ile kötü niyetli çeteler arasındaki rekabet, kullandıkları kötü amaçlı programlarda da tam olarak gösterilecektir. Düşen bir bulut ana bilgisayarı genellikle birden fazla kötü amaçlı grup tarafından "mahvoldu" ve bu da kurtarmayı zorlaştırdı ve daha fazla kayıp yarattı.
Diğer saldırganları engellemenin en yaygın yöntemi, "kendi kullanımınız için kullanım" sağlamak amacıyla, belirli şüpheli anahtar kelimeler içeren işlemleri öldürmek için komut dosyalarını kullanmaktır. Veya başarılı bir saldırının ardından, bazı saldırı grupları, diğer saldırganların bunları kullanmasını önlemek için kendi kullandıkları güvenlik açıklarını düzeltir. Ek olarak, Sinkhole teknolojisi solucanlar tarafından aynı ana bilgisayardaki diğer solucanlarla savaşmak için de kullanılır. Prensip çok basittir: / etc / hosts dosyasını "rakip" tarafından kullanılan sunucu adresini 127.0.0.1 veya 0.0.0.0'a işaret edecek şekilde değiştirin. Bu şekilde, diğer solucanlar sunucudan dosya çekmeye veya çevrimiçi bilgi göndermeye çalıştıklarında, istek yerel makineye yeniden yönlendirilecek ve normal olarak gönderilemez, böylece rakipleri bir kez ve tamamen içerecektir.
Deneme süresi olmadan varsayılan bir savunma mekanizması oluşturun
Siyah ve gri ürünler ve kötü niyetli gruplar ve teknolojik yağışlarla karşılaşma konusunda yılların deneyimine sahip olan Alibaba Bulut Güvenliği varsayılan savunma ekibi, buluttaki kiracıların varsayılan savunmasını gerçekleştirmek için izinsiz giriş saldırıları için eksiksiz bir akıllı müdahale mekanizmaları seti oluşturdu. Bu mekanizma, bulut üzerindeki büyük çaplı izinsiz girişlere direnmek ve bulut kullanıcıları için ücretsiz temel güvenlik savunma yetenekleri sağlamak için tasarlanmıştır.Alibaba Bulut Bulut Kalkanı'nın temel güvenlik savunma modülüdür. Aşağıdaki şekil, tüm mekanizmanın şematik bir diyagramını göstermektedir. Genel yapı, tehdit algılama modülü, korelasyon analiz modülü ve müdahale cezası modülü olmak üzere üç bölüme ayrılmıştır.
Tehdit Farkındalık Modülü
Bu modül, birden çok algılama yöntemi aracılığıyla tüm saldırı bağlantısındaki tehditleri algılayabilir. Grup tanımlama birimi, bulut üzerindeki kötü niyetli grupları analiz etmek ve tanımlamak ve takip etmeye devam etmek ve Dikkat Çete saldırısı modunun değişip değişmediği ve ardından zamanında yanıt verip vermediği; izinsiz giriş davranışı tespit ünitesi, şüpheli izinsiz giriş davranışını zamanında bulmak için esas olarak saldırı davranışının ürettiği anormal gürültüyü yakalar; ve anormal izleme ünitesi tarafından toplanan anormal alarm verileri genellikle yardımcı bilgi ve diğer Veriler birlikte analiz edilir.
Çete kimliği
Grup tanımlama, tüm bağlantı üzerindeki saldırıların keşfi ve takip saldırı yükseltmeleri için büyük stratejik öneme sahiptir. Aşağıdaki şekil, tüm çete analizinin süreç yapısı diyagramını göstermektedir. Analiz sayfası Yuan kökü Tehdit istihbaratı, Shodan ve diğer uzay ekipmanı arama motoru verileri tarafından sağlanan IOC'ler (Tehlike Göstergeleri) ile birleştirilen tam bağlantılı izleme alarm verilerine göre, ağ davranışı ilişkilendirmesi ve süreç davranışı örüntü tanıma yoluyla, ilişkili varlıklar çıkarılır ve grafik modeli oluşturmak için temel olarak kullanılır. Süper geniş ölçekli nokta kenarlarından oluşan eksiksiz bir kötü niyetli program davranış ağı. Bundan sonra, topluluk keşfi izograf kümeleme algoritması, tüm davranış ağının verilerinin derinlemesine araştırılması için kullanılır: aynı davranış özelliklerine sahip kümeler soyulur ve aynı grupta birleştirilir ve kümeler sürekli olarak izlenir ve birleştirilir. Dikkat Genişleme durumu veya yöntem güncellemesi; sürecin durumunu izleyin, madencilik sürecinin işleyişini zamanında kontrol edin; çetelerin kullanmasını önlemek için merkezi kontrol iletişimini gerçek zamanlı olarak izleyin Zombi Büyük ölçekli DD oS saldırısı.
İlişki Analizi Modülü
Korelasyon analizi modülü, tüm mekanizmanın işlem özüdür. Ana işlevi, kötü niyetli davranışın birden çok boyut aracılığıyla gerçek bir saldırı davranışı olup olmadığını kapsamlı bir şekilde yargılamak ve ardından serbest bırakmaya, durdurmaya veya başka eylemler gerçekleştirmeye karar vermektir. Tek noktalı karar, yüksek yanlış alarmlara neden olma eğiliminde olduğundan, genellikle nihai kararı elde etmek için birden fazla sonuç düzeyi kullanarak korelasyon analizi gerçekleştirmek için kullanılır.
Tehdit istihbarat birimi temel olarak, kötü niyetli IP, kötü amaçlı alan adı, dosya karma değeri vb. Gibi saldırı bağlantısının çeşitli göstergelerini desteklemek için istihbarat verilerini ilişkilendirmek için kullanılır; geçmiş davranış birimi esas olarak kötü niyetli saldırıların geçmiş davranış verilerini ilişkilendirmek ve benzerlerini karşılaştırmak için kullanılır. Davranışlar sınıflandırılır ve birleştirilir; parmak izi çıkarma ve analiz birimi, saldırı araçlarını belirlemek ve işaretlemek için saldırı türü ve saldırı yöntemi için karşılık gelen saldırı parmak izlerini çıkarır ve aynı zamanda izinsiz girişin nedeninin kapsamlı analizi için; kötü niyetli davranış analizi birimi, çeşitli Model, saldırı tekniklerini ve alarm verilerini akıllıca analiz eder ve genel davranışı siyah beyaz olarak kapsamlı bir şekilde değerlendirir.Ünlü model birimi temel olarak saldırganı, saldırı yöntemini ve tehdit seviyesini değerlendirir ve farklı tehdit seviyelerinin değerlendirme sonuçlarını döndürür; ayrıca, Ayrıca, tüm saldırı davranışını karakterize etmek için kapsamlı veri analizi ve madenciliği için çeşitli özel ve genel algılama modelleri de vardır.
Durdurma cezası modülü
Korelasyon analiz modülü saldırıyı onayladıktan sonra, ilgili veri bilgileri saldırı engellemesi için müdahale ceza modülüne gönderilecek ve bulut üzerindeki normal kullanıcı hizmetlerinin saldırıdan etkilenmemesi sağlanacaktır. Önleme modülünün akıllı karar merkezi, ele geçirilmesi gereken saldırganların ve hedeflerin kapsamlı bir analizini yapacak ve uygun bir durdurma mekanizması kuracaktır. Aynı zamanda, özel durumların etkisini önlemek için akıllı karar merkezi, belirli duruma göre ceza süresini uygun şekilde geciktirecek ve takip eylemlerini gözlemleyecektir. İzleme ve uyarı platformu sorumludur Dikkat Mekanizmanın tüm süreçlerinin normal işleyişi ve büyük bir olay keşfedildiğinde, manuel müdahale için mümkün olan en kısa sürede bildirilebilir.
son sözler
Bu varsayılan savunma mekanizmasının koruması altında, bu yıl Double 11'de Alibaba Cloud platformu kullanıcıları otomatik olarak tanımladı ve 184 Ülkeler genelinde 6 milyar saldırı. Güvenlik savunması asla bir kez ve tamamen yapılamaz. Hedefimiz, güvenlik sorunlarını kullanıcılardan daha uzak ve uzak tutmaktır. Alibaba Cloud, bulut üzerinde güvenliği sağlamak için kullanıcılarla bulut üzerinde çalışmaya isteklidir.
