廣州熱線

編者按

數(shù)字化浪潮蓬勃興起，企業(yè)面臨的安全挑戰(zhàn)亦日益嚴(yán)峻。

騰訊安全近期將復(fù)盤2022年典型的攻擊事件，幫助企業(yè)深入了解攻擊手法和應(yīng)對(duì)措施，完善自身安全防御體系。

本篇是第三期，用一個(gè)實(shí)際案例講述了企業(yè)在面臨攻擊時(shí)，如何才能及時(shí)準(zhǔn)確找到攻擊源頭，知曉“我被誰(shuí)用什么漏洞攻擊了”，及時(shí)封堵漏洞，避免重大安全事故的發(fā)生。

“當(dāng)你幫客戶排掉這個(gè)‘雷’之后，23451他們發(fā)了感謝函或者郵件致謝嗎?”小編。

“沒(méi)有，但是他們發(fā)來(lái)了一個(gè)采購(gòu)訂單?！敝芄ぁ?/p>

這是一個(gè)發(fā)生在今年4月初的安全應(yīng)急響應(yīng)故事。

異常告警

某天中午，某企業(yè)的安全值班員工進(jìn)行著例行檢查，發(fā)現(xiàn)安全運(yùn)營(yíng)中心SOC發(fā)出了告警，陸續(xù)有主機(jī)出現(xiàn)異常告警行為。憑經(jīng)驗(yàn)判斷，這應(yīng)該是一個(gè)有目的的入侵行為，值班人員立即通知相關(guān)人員上機(jī)進(jìn)行排查，并立即上報(bào)安全負(fù)責(zé)人劉總工。

時(shí)間一分一秒過(guò)去，入侵源遲遲沒(méi)有封堵住，攻擊者已經(jīng)在進(jìn)行內(nèi)網(wǎng)橫移嘗試。安全負(fù)責(zé)人劉總工意識(shí)到了問(wèn)題的嚴(yán)重性，如果不能及時(shí)溯源找到攻擊入口并及時(shí)收斂漏洞，最終的結(jié)果無(wú)外乎三種：被“脫褲”，被加密勒索，或者更可怕——潛伏起來(lái)什么也不做，等待重要的業(yè)務(wù)節(jié)點(diǎn)再發(fā)出致命一擊。

劉總工立即組織了安全運(yùn)營(yíng)團(tuán)隊(duì)進(jìn)行緊急排查，但仍沒(méi)有找到攻擊源頭，攻擊還在繼續(xù)，并且影響范圍是未知的“黑盒”，眼前一抹黑的情況更加劇了事態(tài)嚴(yán)重性。4小時(shí)后，主機(jī)安全服務(wù)的廠商客戶使用的某老牌主機(jī)安全產(chǎn)品負(fù)責(zé)應(yīng)急響應(yīng)的2位工程師也到了現(xiàn)場(chǎng)，他們和駐場(chǎng)的專家一起，加入了排查的隊(duì)伍。

在一個(gè)空曠的被辟為“臨時(shí)作戰(zhàn)室”的會(huì)議室里，2位工程師打開電腦登陸了主機(jī)安全運(yùn)營(yíng)后臺(tái)，根據(jù)攻擊者留下的蛛絲馬跡，順藤摸瓜排查可疑的機(jī)器。他們?cè)趯懩_本，十幾個(gè)客戶IT和業(yè)務(wù)部門的人時(shí)不時(shí)地踱到他們身后看看。

內(nèi)網(wǎng)機(jī)器被攻陷之后，找出攻擊路徑通常需要一兩天時(shí)間，沒(méi)有什么別的捷徑，就是一臺(tái)機(jī)器一臺(tái)機(jī)器地人工排查。但這一次，經(jīng)歷了整整5天，仍然沒(méi)有找到攻擊源，而攻擊者已經(jīng)拿到多臺(tái)服務(wù)器權(quán)限，正在橫向滲透到核心資產(chǎn)，眼看就要釀成重大事故。彼時(shí)，連續(xù)作戰(zhàn)了5天的安全團(tuán)隊(duì)心態(tài)已經(jīng)趨于崩潰，“作戰(zhàn)室”里，十幾只煙頭被摁滅在一次性紙杯里，隨處都是被捏扁的紅牛和可樂(lè)空罐，無(wú)聲訴說(shuō)著無(wú)能為力。

“所有機(jī)器一臺(tái)臺(tái)上去看，從哪臺(tái)打過(guò)來(lái)的，然后順著這個(gè)IP走到另外一臺(tái)機(jī)器，然后繼續(xù)看、繼續(xù)分析，看他從哪進(jìn)來(lái)的，留下什么日志、做了些什么行為。但是有時(shí)候那些機(jī)器上面并沒(méi)有那么完善的日志、記錄，只能憑少數(shù)一些異常登錄或者行為來(lái)定位它是怎么進(jìn)來(lái)的，整個(gè)過(guò)程就會(huì)很復(fù)雜?！币晃唤?jīng)驗(yàn)豐富的安全專家分析道。

常見(jiàn)APT入侵路徑，由于入侵者會(huì)刪除日志，隱藏攻擊路徑，造成安全溯源往往會(huì)費(fèi)時(shí)費(fèi)力

“12號(hào)12:00之前，問(wèn)題一定要得到妥善解決，源頭一定要找到!”劉總工下出最后的軍令狀!

深夜的一條微信消息

“我們?cè)庥龃罅烤W(wǎng)絡(luò)攻擊，請(qǐng)支援我們?！?1號(hào)晚上21點(diǎn)17分，騰訊安全主機(jī)安全團(tuán)隊(duì)的X被拉到一個(gè)微信群，收到一條@他的信息。

他詢問(wèn)了幾個(gè)基礎(chǔ)問(wèn)題，心中有了大概，立馬電話搖人，找到兩位熟諳此類問(wèn)題解決之道的專家周工和吳工進(jìn)群。時(shí)間緊急，也沒(méi)有寒暄，直接發(fā)了一個(gè)線上會(huì)議鏈接。20分鐘后，他們已經(jīng)了解了客戶目前的IT環(huán)境和受攻擊情況。

吳工和周工沒(méi)有開口講述之前，小編的腦海里出現(xiàn)的畫面是一隊(duì)人火急火燎趕高鐵、飛機(jī)奔赴客戶現(xiàn)場(chǎng)，一頭扎進(jìn)機(jī)房，甚至晚上在機(jī)房外面扎個(gè)行軍床。今年疫情反復(fù)，到處都是異地來(lái)訪隔離5+3天，他們能順利趕到一線嗎?

“客戶是在哪個(gè)城市?是在北京嗎?”小編。

“也許?不知道?！敝芄?。

“你們都沒(méi)有去客戶現(xiàn)場(chǎng)嗎?”小編。

“不需要啊，我們是云原生的漏洞分析引擎，只需要客戶把基礎(chǔ)信息提供給我們，我們就能分析出來(lái)?！敝芄?。

預(yù)想中的這一切兵荒馬亂都沒(méi)有發(fā)生，從接到需求到找到攻擊源，周工他們總共花費(fèi)了不到1小時(shí)。這得益于一個(gè)叫WeDetect的自動(dòng)化漏洞分析引擎，它一方面掌握了云上幾乎所有公開已知的漏洞，客戶如果存在這些已知漏洞，能很快被找出來(lái);而對(duì)于那些未披露的0day漏洞，WeDetect則從其攻擊行為上能判斷出異常，并發(fā)出預(yù)警。

“一個(gè)算力遠(yuǎn)勝于人腦、724小時(shí)不眠不休的機(jī)器，查找起漏洞自然快很多?！眳枪ふf(shuō)。

數(shù)據(jù)排查完畢后，吳工把排查結(jié)果以及WeDetect如何發(fā)現(xiàn)這個(gè)攻擊源的數(shù)據(jù)反饋給了客戶，客戶眼前一亮，當(dāng)即下了一個(gè)對(duì)于SaaS服務(wù)來(lái)說(shuō)數(shù)額很可觀的訂單。而對(duì)于該企業(yè)來(lái)說(shuō)，這也許是他們采購(gòu)流程里最快的項(xiàng)目之一，但肯定也是說(shuō)服力最毋庸置疑的項(xiàng)目之一。

wedetect入侵漏洞溯源示意圖

千里眼和順風(fēng)耳

僅僅是2兩年前，遇上這樣的應(yīng)急響應(yīng)事件，吳工也需要去客戶現(xiàn)場(chǎng)，手動(dòng)一臺(tái)臺(tái)搜查問(wèn)題。他記憶最深的一個(gè)案例，是某一次客戶被勒索，勒索軟件把一些有用的日志也加密了，導(dǎo)致關(guān)鍵溯源數(shù)據(jù)丟失，客戶用了各種方式都無(wú)法找到入口。他早上11點(diǎn)趕到廣州客戶現(xiàn)場(chǎng)，凌晨3點(diǎn)才找到攻擊源，結(jié)束工作后打開滴滴準(zhǔn)備打車去酒店，發(fā)現(xiàn)忘了訂酒店。站在除了保安之外幾乎空無(wú)一人的工業(yè)園區(qū)大門口，他有一瞬間感到很茫然。

另外一次是某個(gè)關(guān)基企業(yè)被勒索，他們被叫到現(xiàn)場(chǎng)時(shí)，很多老牌安全廠商的專家團(tuán)隊(duì)都已經(jīng)在待命了，場(chǎng)面堪稱中國(guó)網(wǎng)絡(luò)安全的“夢(mèng)之隊(duì)”。夢(mèng)之隊(duì)花費(fèi)了數(shù)個(gè)小時(shí)終于還原了攻擊路徑，但對(duì)于已經(jīng)加密的數(shù)據(jù)是無(wú)計(jì)可施的，所幸他們從一臺(tái)機(jī)器上找到一個(gè)多月前的備份數(shù)據(jù)進(jìn)行了手動(dòng)恢復(fù)。

從Solarwinds事件以來(lái)，這兩年密集地涌現(xiàn)了Log4j、Springboots、node-ipc包供應(yīng)鏈投毒等各種現(xiàn)象級(jí)的安全事件，在官方發(fā)布漏洞公告到國(guó)內(nèi)外安全廠商推出響應(yīng)措施之前，中間有一段“真空時(shí)間”是黑產(chǎn)作案的黃金時(shí)期，但卻是企業(yè)的噩夢(mèng)期，很多客戶不知道機(jī)器為什么被攻陷、攻擊者打到了哪里，騰訊安全的專家服務(wù)團(tuán)隊(duì)一次又一次次接到客戶的應(yīng)急訴求。

在這樣的事情重復(fù)發(fā)生多次，以及2020年以來(lái)疫情防控導(dǎo)致出差的不便利之后，周工、吳工團(tuán)隊(duì)開始琢磨：如何才能擺脫被動(dòng)應(yīng)急的局面，提升威脅的主動(dòng)發(fā)現(xiàn)能力?

要解決這個(gè)問(wèn)題，騰訊安全有幾個(gè)天然的便利：依托騰訊云和豐富的云原生產(chǎn)品，聯(lián)合云上各安全產(chǎn)品日志、主機(jī)異常行為數(shù)據(jù)、攻擊流量數(shù)據(jù)，騰訊能更全面地掌握云上的最新攻擊態(tài)勢(shì);其次，騰訊擁有豐富的實(shí)戰(zhàn)攻防經(jīng)驗(yàn)，無(wú)論是內(nèi)部例行的攻防演練，還是各類重保項(xiàng)目中歷練出來(lái)的藍(lán)軍攻擊手法，能夠?qū)崿F(xiàn)知己知彼?！白约壕褪枪絷?duì)，我平時(shí)攻擊會(huì)怎么打，就把這些經(jīng)驗(yàn)轉(zhuǎn)換成對(duì)應(yīng)的模型落地到引擎里面去?！?/p>

前后歷時(shí)半年，WeDetect逐漸成形。騰訊 WeDetect??云上威脅狩獵引擎，是騰訊安全基于云原生的自動(dòng)化漏洞攻擊事件檢測(cè)、關(guān)聯(lián)、響應(yīng)引擎。結(jié)合入侵事件中產(chǎn)生的多維度數(shù)據(jù)，實(shí)時(shí)自動(dòng)化對(duì)攻擊事件的關(guān)聯(lián)、分析、定性。目前??WeDetect??已捕獲到造成云上機(jī)器失陷的數(shù)百個(gè)已公開漏洞，以及數(shù)十個(gè)未公開漏洞的利用。wedetect能力已經(jīng)賦能到云鏡攻擊檢測(cè)模塊，在實(shí)錘漏洞入侵的同時(shí)，也展示給客戶嘗試入侵的攻擊，彌補(bǔ)了東西向流量入侵檢測(cè)的能力。

經(jīng)過(guò)一年的運(yùn)營(yíng)，截至目前，WeDetect??已經(jīng)在重大漏洞響應(yīng)中幫助騰訊安全團(tuán)隊(duì)發(fā)現(xiàn)了多起高危漏洞利用，幫助物流企業(yè)、游戲廠商、電商企業(yè)、交通企業(yè)等發(fā)現(xiàn)并及時(shí)終止了很多棘手的攻擊。

“這個(gè)感知是很強(qiáng)烈的，就好像經(jīng)歷過(guò)高考的每個(gè)人都知道670分是什么價(jià)值，夠上個(gè)985還是211?？蛻舳鄶?shù)對(duì)于漏洞排查有切身經(jīng)驗(yàn)，在經(jīng)歷了那么長(zhǎng)時(shí)間手工時(shí)代，他們看到我們不用去現(xiàn)場(chǎng)也能很快地通過(guò)自動(dòng)化地分析出問(wèn)題所在，對(duì)他們的觸動(dòng)是很大的。這也直接促成了我們一些商機(jī)轉(zhuǎn)化?！眳枪ふf(shuō)道。

就在我們發(fā)稿時(shí)，WeDetect這個(gè)不眠不休的千里眼和順風(fēng)耳，也正在持續(xù)偵查著云上的漏洞利用情況“風(fēng)聲”。