[collect]云盾态势感知


=Start=

缘由:

可以算是竞对产品分析的一种吧。

正文:

参考解答:

云盾态势感知提供基础版及企业版两个版本:

  • 基础版免费提供异常登录检测主机漏洞检测服务。
  • 企业版按照包年包月方式收取服务费用,提供安全告警、主机和网络漏洞检测及修复、基线检查、资产指纹、安全分析、和日志检索等全面的安全服务。

关于基础版和企业版的具体功能对比,请参照下文。

态势感知功能对比

下表罗列了态势感知的功能详情以及基础版和企业版之间的功能差异,其中用到如下标识:

  • ×:表示不包含在服务范围中。
  • :表示包含在服务范围中。
  • 增值:表示需要在购买服务时单独勾选,才包含在服务范围中。
功能 功能项 功能详情 基础版 企业版
安全告警 异常登录检测 非常用登录地登录】系统自动记录ECS常用登录地(也支持手动添加),若在非常用登录地进行登录,则触发告警。
【暴力破解】检测ECS在多次尝试登录失败后最终登录成功的情况,这类情形很有可能是密码被暴力破解。
非合法IP登录】开启后,允许用户配置ECS合法登录IP(如堡垒机IP、办公网IP等);若使用非指定的IP登录,则触发告警。 ×
非合法账号登录】开启后,允许用户配置ECS合法登录账号;若使用非合法账号登录,则触发告警。 ×
非合法时间登录】开启后,允许用户配置合法登录时间(如工作时间);若在非合法登录时间登录,则触发告警。 ×
网站后门查杀 【Webshell检测】主机+网络双重检测机制。

  • 主机检测:实时监控主机上网站目录文件变化。
  • 网络检测:通过文件还原及Webshell通信指纹进行检测
仅主机检测
【Webshell查杀】支持在控制台一键隔离检测出来的Webshell文件。
注:已隔离文件在30天内可以恢复。
×
【Webshell查杀范围】PHP、ASP、JSP等类型的网站脚本文件。
恶意进程(云查杀) 【病毒检测】定期扫描进程并监控进程启动事件,通过云查杀机制检测恶意病毒和木马进程。 ×
【病毒查杀】支持在控制台一键中止进程和隔离恶意文件。 ×
【病毒查杀范围】

  • 勒索病毒:WanaCry、CryptoLocker等加密文件型勒索软件。
  • 恶意攻击:对外DDoS攻击木马、对外恶意扫描木马、垃圾邮件发送木马等。
  • 挖矿软件:占用服务器非法挖掘虚拟货币的资源消耗型软件。
  • 肉鸡程序:中控木马、恶意中控连接、黑客工具等。
  • 其他病毒:蠕虫病毒、Mirai病毒、感染型病毒等。
×
【病毒库】

  • 更新机制:病毒版本部署在云端,由阿里云统一控制,实时更新,客户端本地无检测引擎。
  • 病毒样本能力:基本覆盖全种类病毒,在云端集成国内外主流杀毒引擎、阿里云自研沙箱和机器学习引擎等。
×
进程异常行为 【异常行为检测】通过云上真实的攻防场景对入侵链路还原,建立进程行为白名单,对于进程的非法行为、黑客的入侵过程进行告警。 ×
【异常行为检测范围】

  • 反弹Shell:检测Bash进程执行可疑指令,服务器被远程控制执行任意命令等。
  • 数据库异常指令执行:检测MySQL、PostgreSQL、SQLSserver、Redis、Oracle等数据库的异常指令。
  • 应用进程非法操作:检测Java、FTP、Tomcat、Docker容器、Lsass.exe等应用进程的非法操作。
  • 系统进程非法行为:检测Powershell、SSH、RDP、SMBD共享、SCP文件拷贝等系统进程的非法行为。
  • 其他可疑进程行为:检测Vbscript、Host被访问、crontab被写入、Webshell写入等。
×
【异常行为检测能力】为数百个进程建立了近千个行为模型,通过比对模型分析异常行为。 ×
敏感文件篡改 【篡改检测】实时监控敏感目录及文件,对于异常的读取、写入、删除等敏感操作进行告警。 ×
【文件篡改检测范围】

  • 系统文件篡改:检测Bash、ps命令进程被恶意替换,隐藏的非法进程运行等。
  • 网站核心文件删除:检测黑客非法登录服务器后,恶意删除网站文件。
  • 网站挂马篡改:检测网站被加入恶意代码,造成访问者自动下载木马病毒。
  • 其他可疑事件:检测Linux、MysqlDB等被勒索软件篡改登录界面,留下邮箱或比特币钱包地址等情形。
×
异常网络连接 【异常连接】在主机层和网络层对网络连接进行监控,识别非法的连接行为,并进行告警。 ×
【异常连接检测范围】

  • 主动外连:可疑SHELL反弹、Bash主动外连等主动外连到可疑IP。
  • 恶意攻击:被种植恶意软件,对外发动SYN-Flood、UDP-Flood、ICMP-Flood等恶意攻击。
  • 可疑通信:检测后门程序通信、可疑Weshell通信行为等。
×
漏洞管理 Linux软件漏洞 【Linux软件漏洞检测】对标CVE官方漏洞库,采用OVAL匹配引擎进行软件版本比对,对当前使用的软件版本中存在的漏洞进行告警。
【漏洞修复】支持一键运行update升级命令修复漏洞,以及生成漏洞修复命令,用于手动修复。 ×
Windows系统漏洞 【Windows系统漏洞检测】同步微软官网补丁源,对高危及有影响的漏洞进行检测和提醒。
【漏洞修复】支持一键下载补丁文件并静默安装更新,需要重启的漏洞会进行提醒。
Web-CMS漏洞 【Web-CMS漏洞检测】监控网站目录,识别通用建站软件,通过漏洞文件比对方式检测建站软件中的漏洞
【漏洞修复】自研漏洞补丁,支持一键修复,通过文件替换、修改等方式从源代码级别修复漏洞。 ×
其他漏洞 【其他漏洞检测】检测如软件配置型漏洞、系统组件型漏洞等漏洞;支持自动检测,但不支持修复。
Web漏洞扫描 通过公网模拟攻击的方式,主动探测您服务器暴露在公网上的安全漏洞,由 阿里云云盾·网络漏洞扫描系统 提供服务。 × ×
基线检查 主机基线 【主机基线检查】通过任务下发模式,对主机进行安全配置扫描,对未符合标准的项目进行提醒。 ×
【主机基线检查范围】

  • 账号安全:检测密码策略合规、系统及应用弱口令等。
  • 系统配置:检测组策略、登录基线策略、注册表配置等存在的风险。
  • 数据库风险:检测Redis数据库高危配置等。
  • 合规对标要求:检测是否符合CIS-Linux Centos7等系统基线要求。
×
【检测策略】支持自定义检测策略,设置检测项目、检测周期、应用的服务器组等。
注:暂不支持自定义检测脚本。
×
云产品基线 【云产品基线检测】检测ECS、RDS等云产品的安全配置是否存在安全隐患。 ×
【云产品基线检查范围】

  • ECS:检测安全组端口访问策略是否过宽。
  • SLB:检测是否转发不必要的端口至公网,增加系统受攻击风险。
  • RDS:检测数据库是否公开在外网,以及是否配置访问白名单。
  • Actiontrail:是否开启了操作日志审计,便于日志回溯。
  • MFA:是否开启了双因素认证登录,防止阿里云账号被破解。
  • 其他:检测SLB白名单、RDS加密通信等。
×
资产指纹 端口监听 收集和呈现端口监听信息,记录变动历史,便于清点开放的端口信息。 ×
账号管理 收集账号及对应权限信息,可清点特权账号,检测提权行为。 ×
进程管理 收集和呈现进程快照信息,便于自主清点合法进程,检测异常进程。 ×
软件管理 清点软件安装信息,在高危漏洞爆发时可快速定位到受影响资产。 ×
网站后台管理 识别网站后门资产,监控是否有撞库和异常网站后门登录行为。 ×
安全分析 访问分析 汇总SLB、ECS的所有流量统一查看,帮助区分爬虫和正常访问流量。 ×
攻击分析 支持查看系统遭受的Web攻击详情和ECS遭受的暴力破解攻击。 ×
威胁分析 识别定向的暴力破解、后门撞库攻击,发现系统的高级威胁。 ×
AK&账号密码泄露 实时监控Github等第三方代码托管网站,捕获并判定被公开的源代码(包含企业员工私自上传并不小心公开的源代码)中是否含有ECS、RDS、Redis、MySQL等资产的登录名和密码信息。 ×
十块大屏 支持查看业务运营监控、安全应急响应中心、安全感知体系、安全防御体系大图、业务访客概览等共十块数据大屏。 × 增值
日志检索 进程日志 【进程启动】进程一旦启动,系统记录下该启动事件的详细信息,使用日志功能可查询进程启动记录。 × 增值
【进程快照】系统抓取并存储某一时刻的进程全量日志,使用日志功能可查询进程快照信息。 × 增值
网络日志 【网络连接日志】查询主机主动对外发起网络连接的记录。
【网络会话日志】主机端网络端同时采集连接五元组信息,使用日志功能可查询网络会话记录。
【Web访问日志】系统从网络上抓取HTTP的访问日志,使用日志功能可查询Web访问记录。注:暂不支持HTTPS。
【DNS日志】查询对外请求的DNS解析日志。注:暂不支持内网DNS。
× 增值
其他日志 【系统登录】查询SSH、RDP的系统登录流水中登录成功的日志。 × 增值
【暴力破解】查询SSH、RDP的系统登录流水中多次连续登录失败的日志。 × 增值
【端口监听快照】系统抓取并存储某一时刻的所有对外监听端口的快照数据,使用日志功能可查询端口监听信息。 × 增值
【账号快照】系统抓取并存储某一时刻的所有账号信息的快照数据,使用日志功能可查询账号信息。 × 增值
日志投递 支持将安全日志投递到 阿里云日志服务(Log Service),便于使用日志服务进行日志分析,或再次投递到MaxCompute(ODPS)、OSS中,进行自定义二次分析等。 × 增值
参考链接:

=END=


《“[collect]云盾态势感知”》 有 29 条评论

  1. 竞争对手的数据分析方法
    https://mp.weixin.qq.com/s/RnGixe9hYHVjH9VRJRcxtg
    `
    1. 收集可能的竞争对手资料
    2. 找出竞争对手
    3. 收集数据
    4. 产品策略分析
    5. 渠道策略分析
    6. 价格策略分析
    7. 营销策略分析
    8. 客户服务能力分析
    9. 综合竞争力分析
    10. 竞争力分析报告
    `

  2. ML&AI如何在云态势感知产品中落地
    https://mp.weixin.qq.com/s/7Clr-Uxg6y5nXOnIQXLZ6A
    `
    0x01、云态势感知如何集成
    0x02、产品设计架构
      1、相关前置条件
      2、现有大厂调研(核心能力输出厂商)
    0x03、涉及到算法描述
      1、威胁情报查询
      2、PE静态分类器
      3、ML&AI动态分类器
      4、决策中心
    0x04、结论
    通过上述机器学习和深度学习方法,云态势感知产品可能给用户更确切的检测结果,缩短检测时间,让态势感知产品真正具备预测未知威胁的安全能力。
    `

  3. 机器学习在Windows RDP版本和后门检测上的应用
    https://www.anquanke.com/post/id/157175
    `
    简介
    背景
    实现思路
      当前RDP版本识别存在的问题
      如何高效自动化的检测RDP后门(不止shift后门)?
      Windows RDP截图
      Windows版本检测
      RDP后门检测
      RDP版本、后门全国分布
    总结
    `

  4. 文件安全检测–持续更新
    https://blog.csdn.net/qq_29277155/article/details/79781485
    `
    x00前言
    在企业安全事件应急处置和异常行为分析的时候,往往需要对文件(windows/linux/android等平台的文件)进行安全检测,确认该文件是否为恶意文件(病毒、木马、后门、webshell、恶意广告软件、流氓软件等),以便确认文件的安全性,了解安全事件的攻击来源。

    x01文件安全在线检测
    x02文件安全离线查杀
    x03移动APP安全检测
    `

  5. 我们真的需要态势感知吗?
    https://www.aqniu.com/learn/27589.html
    http://netsecurity.51cto.com/art/201708/548857.htm
    `
    态势感知是什么?
    态势感知的概念最早是由美国空军提出,是为提升空战能力,分析空战环境信息、快速判断当前及未来形势,以作出正确反应而进行的研究探索。

    美国国家安全系统委员会对态势感知的定义是:“在一定的时间和空间范围内,企业的安全态势及其威胁环境的感知。理解这两者的含义以及意味的风险,并对他们未来的状态进行预测。”态势感知是偏重于检测和响应分析能力的建设,这确实是现实最迫切的安全需要。

    为什么需要态势感知?
    面对新的安全形势,传统安全体系遭遇瓶颈,需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。

    从现实中的网络安全建设看,多年来我们一直偏重于架构安全(漏洞管理、系统加固、安全域划分等)和被动防御能力(IPS、WAF、AV等)的建设,虽取得了一定的成果,也遇到发展瓶颈。简单通过购买更多的安全设备已经不能使安全能力有提升,需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。在之前建立了一定自动化防御能力的基础上,开始增加在非特征技术检测能力上的投入,以及事件响应分析能力的建设;并通过对事件的深度分析及信息情报共享,建立预测预警并针对性改善安全系统,最终达到有效检测、防御新型攻击威胁之目的。

    “态”指是从全局角度看到的现状,包括组织自身的威胁状态和整体的安全环境,需要基于之前提到的5种检测能力尽可能的发现攻击事件或攻击线索,同时需要对涉及到的报警提供进一步的分析,回答以下的问题:
    · 是真实的攻击吗?是否可能误报?是否把扫描识别为真实攻击?
    · 是什么性质的攻击?定向或者随机?
    · 可能的影响范围和危害
    · 缓解或者清除的方法及难度

    “势”,即未来的状态。要能预测组织未来的安全状态,需要对现阶段所面临的攻击事件特别是定向攻击事件有深入的了解:
    · 是新的攻击团队还是已知团伙
    · 攻击者的意图
    · 攻击者的技战术水平及特点
    · 是否属于一次大型战役的一部分

    要完成态势感知的建设目标,需要具备以下三大核心要素:流量数据采集、威胁情报和安全分析师。

    1. 基于特定组织,完成内部态势感知基本建设
    2. 建立纵向支撑体系以及情报数据共享体系
    3. 建立整体性自动化防御能力
    `

  6. 点融开源AgentSmith HIDS— 一套轻量级的HIDS系统
    https://mp.weixin.qq.com/s/4saEV6fWimqfII2_7PUQ8Q
    https://github.com/DianrongSecurity/AgentSmith-HIDS
    `
    我们曾经着重测试了Linux Audit,但是其对Docker容器的不支持,收集的信息过于碎片化比较成为问题,最为关键的是,其较为复杂庞大的架构实现导致对宿主机性能产生了显著的影响,因此最终放弃。

    AgentSmith-HIDS从设计伊始,就是以黑客攻击的Kill Chain作为出发点,从这个角度分析梳理常见的风险操作,从而确保轻量化和对性能损耗的最小化。我们采用了通过加载LKM来实现Hook execve,

    connectinit_module,finit_module 的system_call,execve是为了捕获执行的命令来监控异常操作,归档等;监控connect是为了捕获服务器的网络行为,不仅仅可以发现很多安全问题,也可以方便的和AgentSmith-NIDS联动;监控init_modle和finit_module是为了监控加载LKM的行为,可以在这个层面做一些Anti-Rootkit的检测。
    `

  7. 企业应用指纹平台框架实践
    https://mp.weixin.qq.com/s/DeHbVNidE5Oh4WuYXyGX6g
    `
    前言
    当外界爆出0day或者高危通用漏洞时,安全工程师需要排查所有受影响产品和业务线。如果缺乏一种快速、统一的查询方式,将导致安全工程师浪费大量时间在受影响资产排查上,也将极大地降低安全应急的效率。应用指纹平台收集和展示web和主机应用相关指纹信息,提供快速的指纹检索能力,能够极大地提高安全应急速度,从而最大程度保障企业安全。

    指纹的识别方式
    应用的指纹,可以分为三类:
    1、Web指纹:传统的web应用信息,包括web应用、框架、服务器等信息。
    2、主机指纹:主机上的服务和类库相关信息,以及端口和banner的信息。
    3、代码指纹:代码中包含的web组件或者类库的信息。

    Web指纹中的「黑盒识别」,黑盒识别的主要方式包括:
    · 响应体中包含特定字符串,例如phpBB Group
    · 响应头中包含特定字符串,例如Set-Cookie: phpbb
    · 特殊url路径中包含特定字符串,例如/wp-admin
    · 存在特殊文件,例如wordpress/wp-includes/wlwmanifest.xml

    主机层面的指纹识别主要包括os、服务和类库的信息,以及端口和banner信息。端口和banner信息可以通过masscan + nmap的方式获取,而os、服务和类库的信息则需要服务器上的agent端获取。

    代码指纹识别是指在代码上线前识别代码中的应用指纹,例如java中使用的类库或者PHP中的web框架等。代码指纹可以复用白盒web指纹规则,同时由于不再以机器名为维度,改为通过代码库进行区分。代码指纹识别还可以与数据相关联,用于排查数据泄露。典型的识别规则为:
    ^import\s*[a-zA-Z0-9_,\s]*(?:cgi|flask|web|django|pyramid)(?:\.[a-zA-Z0-9_]+)*[a-zA-Z0-9_,\s]*$
    通过正则可以识别python相关项目,准确性很高。而代码指纹还可以通过与线上机器名与ip关联,从而增加指纹数据维度。

    相对于外界的指纹平台,公司内的指纹平台,要求多维度的覆盖,这提高了数据的完整性,同样也加大了数据整合难度。在指纹识别的过程中,必须考虑对业务的影响,尽量在闲时采集数据,同时指纹数据的聚合也应该适合从域名、ip和主机名等多维度聚合,并非一条规则聚合所有数据就是合理的。目前我们的指纹平台会例行针对公司的外网域名、IP及 IDC 主机信息进行采集,根据指纹类型的不同,采集一次需要 3 – 12 个小时,采集到指纹数据量在数十万条,覆盖绝大多数 Web 服务器和所有主机,能够满足安全应急排查分钟级数据收集需求,同时指纹平台提供应急数据采集功能,能够针对未知指纹进行1小时内采集。
    `

  8. 一篇报告了解国内首个针对加密流量的检测引擎
    https://www.aqniu.com/tools-tech/45207.html
    `
    全球互联网走向全面加密时代已经是大势所趋。但在加密访问可保障通讯安全的情况下,绝大多数网络设备对网络攻击、恶意软件等加密流量却无能为力。攻击者利用SSL加密通道完成恶意软件载荷和漏洞利用的投递和分发,以及受感染主机与命令和控制(C&C)服务器之间的通信。

    一、 使用加密流量的恶意用途分析
    通过对大量恶意加密流量的分析,加密通信中的恶意流量一般包括如下三大类:
    1. 恶意代码使用加密通信
    2. 加密通道中的恶意攻击行为
    3. 恶意或非法加密应用
    `

  9. 记一次应急中发现的诡异事件
    https://www.freebuf.com/geek/205497.html
    `
    在一次应急响应中,无意发现来自不同地区和人员的攻击,两种留后门的方法,截然不同的操作,不同的技术手法。

    fonts目录常被用于藏匿后门的最佳场所

    除了上述的恶意文件之外,还有一些,我觉得似乎和他们不是一伙的。 从矿池地址可以看出来。
    在Fonts目录下比较喜欢使用bat,另外就是有签名,虽然签名不怎么样。
    在ProgrameData目录下的比较擅长使用vbs,但是文件没有签名,虽然没有签名,却加壳了。
    剩下的都是零零散散的文件,也不太确定属于哪个系列。

    总结:
    这台主机似乎被许多人同时光顾,其中使用vbs的哪个大哥应该是国人,频繁使用UPX壳,因为在tao.vbs脚本中,出现了中文,以及两个提权exp,ms16-032,cve-2018-8120

    反观使用bat的大哥,镜像劫持,调整组策略,伪装签名,反杀毒软件,反调试,注册系统服务,使用wim持久化。

    还有一些零散的文件,360安全中心,win64.exe,应该也是国人留下的吧,比较接地气。
    `

  10. 为什么我认为现阶段HIDS处于攻防不对等的地位?
    https://mp.weixin.qq.com/s/MpSjL462HQG-ExQ_45nJ4
    `
    2.现在部分的HIDS技术
    我们来大概看看现在主流的HIDS部分关键技术.
    1. Linux Auditd,作为一款以Hook框架发展起来的安全组件,可以Hook任意Syscall和一些关键操作.缺点是性能略差,不支持Namespace(即不支持容器技术,如Docker),还有比如Connect Hook位置靠前导致得不到源端口等小坑,使用Netlink传输性能略差,且难以二次开发等.

    2. cn_proc,很多都采用cn_proc来获取进程创建信息,缺点也是很明显的,获取信息缺失严重,大多数场景需要自己去/proc取(瞬时进程还取不到),不支持Namespace,用户态的功能叠加同样可能会导致性能问题的出现.

    3. 用户态Hook,比如LD_PRELOAD,容易被绕过,且有时不是故意绕过…

    4. clamAV/BusyBox/Rootkit Hunter等其他开源组件,使用规则的问题就是容易被绕过,开源组件拼凑往往难以实现威胁的全覆盖.

    5. 其他系统日志,比如bash_history等等,部分容易被绕过.


    3.我们谈谈绕过的问题
    为什么我总是说到被绕过?因为我们防御到不是普通的正常用户,面对已知的防御能力,入侵者会想出各种的绕过方法,逃避检测.笔者在之前处理了一起APT攻击事件,攻击组织使用了Kernel Rootkit来逃避检测,而发现时居然已距入侵估计时间节点长达数年之久.

    HIDS上一起被绕过的入侵行为,很有可能就是企业安全最不想面对的梦魇,而梦魇来袭,防御者往往毫不知情.

    我们随意例举几个笔者所知道的绕过姿势,如果有参与研发HIDS的甲方/乙方的同事不妨评估一下自己的HIDS是否可以精准捕获有效数据已足以支撑你们的决策部分作出判断:
    1.更换默认Bash,如csh/zsh
    2.巧用shell 命令: 用?指代任意一个字符、用 !! 代表上一个命令。
    3.反弹shell时不用bash,而是cp /usr/bin/bash test,然后使用test进行反弹shell
    4.进程注入
    5.pwnginx/mod_rootme/Knock-out等“复古后门”
    6.各种隐秘通道技术(不仅仅有大家都熟知的DNS/ICMP)
    7.Rootkit
    7.自定义system_call,逃避Auditd等Hook技术
    8.nc -e
    9.利用memfd_create无文件渗透/利用ptrace模糊执行参数

    仔细思考上面随便列举的几个方法,就会发现,攻防不对等技术一直存在.安全工程师过于理想的考虑攻击方手段,逐渐失去Hack的本质.大量使用开源检测组件而逐步失去思考能力,“无开源,不安全” 又导致检测规则和逻辑逐步被绕过而不知.
    对于HIDS的检测能力,太多的依赖规则和”进程名“这种不可信的信息来源.而想要的到更精准/全面的信息,要么会出现短连接/短进程捕获不到,性能出现压力,没有成熟的开源组件而放弃想法,一直妥协最终出现目前的状态.
    又有多少企业在虚假的安全中而忽视了这些风险呢?我们不得而知.当针对性的攻击出现时,很可能就是:防御终将失效.

    4.我们谈谈内核态HIDS
    笔者之前开源了Hook system_call的HIDS:AgentSmith-HIDS,反响寥寥.大多数的评价是:“内核态不稳定”,我相信大多数评价者应该都没有使用过/测试过这款开源的产品.习惯性的“Kernel态不稳定”总是政治正确的.当然笔者承认,稳定性和适配性的确是他的一大短板.我们暂且不讨论AgentSmith-HIDS,我们聊聊内核态的HIDS有哪些优势:
    1. 性能,内核态HIDS无需遍历/proc之类的,天然支持Namespace.传输方案也可以用共享内存代替Netlink

    2. 二次开发友好,想要stdin/out?简单,几行代码的事.想要tgid?简单.

    3. 天然支持微隔离,隔离到进程级别-syscall级别(大多数场景connect应该就够了)

    4. 难以绕过(但还是可能,相对困难些,比如“??/!!”这种还是是无法绕过的)

    5. 可以做到一定程度的实时行为检测Rootkit(之前说的APT的后门就是通过这种方式检测出的)

    6. 内核态HIDS并不全是内核态,通常是LKM+用户态Agent,所以,可以做到相互补充,用户态也可以做一些诸如:资产盘点,漏洞检测.webshell静态查杀等等行为

    7. 监控能力到达syscall级别,面对很多绕过的行为,可以支撑更多的行为监测逻辑.比如上文所述的一些绕过的反弹shell

    8. 可以借鉴LKRG(Linux Kernel Runtime Guard)这样优秀的产品,面对各种Linux Kernel的0day也可以做到一定程度的防御

    9. 良好可信的数据收集,带来的是后续优质的,可持续的,可以作为数据分析的数据源,可以建立不同维度的行为模型来发现更隐蔽的异常

    10. Hook部分syscall甚至可以做到业务级的资产梳理,比如A发出了HTTP的Request,Host是XXX(理论可行)


    诚然,依然会有很多缺点,但是内核态HIDS并非仅仅有一个LKM,肯定会伴随着用户态Agent的存在,可以发挥的地方比起传统的HIDS只多不少.整体信息收集能力更可信且难以被绕过,由于有进程的完整的syscall信息(hook的syscall)作为支撑,可以做更多的行为检测能力,后期也可以向进程级别微隔离/可信计算/Linux Kernel 0day漏洞检测方向发展,性能/容器化的支持也具有天然优势.

    5.思考
    作为防御方,我们应该有哪些盾来抵御潜在的“暗箭”呢?这是每一个防御方都要思考的问题,我们更要思考攻击者会有那些可能的方法,绕过我们的防御.想想马奇诺防线吧,臆想的防御方式很有可能不那么奏效.最后,笔者对HIDS的了解和研究也不是很深入,HIDS的学习/研发/测试也只有4-5个月的时间.后来一直在研究其他领域,也欢迎大家提出不同的观点和意见.
    
`

  11. 主机安全进化论:持续增强的检测、响应和架构适配能力
    https://mp.weixin.qq.com/s/mWP-CSQaojWobKCmigHSYA
    `
    进化一:提升精准检测能力

    ATT&CK框架模型对于安全从业者最大价值就是增强其对检测能力的理解,按照其ATT&CK模型覆盖度、检测点,找到自身安全检测能力的改进方向。如何根据ATT&CK框架去检查目前安全产品的整体覆盖度,做全面差异分析,以及如何将ATT&CK所涵盖的技术点融入到产品中等问题值得大家思考。

    进化二:自动化的响应能力

    提到自动化响应,当下最火一个安全概念当属SOAR(Security Orchestration, Automation and Response),意即安全编排自动化与响应。该技术聚焦安全运维领域,重点解决安全响应的问题。2017 年,Gartner 将 SOAR 定义为安全编排自动化与响应,并将其看作是安全编排与自动化 (SOA, Security Orchestration and Automation)、安全事件响应平台 (SIRP, Security Incident Response Platform) 和威胁情报平台 (TIP, Threat Intelligence Platform) 三种技术/工具的融合。Gartner 认为,SOAR 技术仍然在快速演化,内涵未来仍可能会变化,但其围绕安全运维,聚焦安全响应的目标不会改变。

    进化三:新架构的适配能力

    (1)主机安全:容器与宿主机共享操作系统内核,因此宿主机的配置对容器运行的安全有着重要的影响,比如宿主机中安装有漏洞的软件可能会导致任意代码执行风险,sudo 的访问权限没有按照密钥的认证方式登录可能会导致暴力破解宿主机。从安全性考虑,容器主机应遵循如最小安装化,不应当安装额外的服务和软件以免增大安全风险,及时给操作系统打补丁等。

    (2) 镜像安全:容器镜像是由若干层镜像叠加而成的包括基础的镜像、赋能层、应用层,通过镜像仓库分发和更新的。镜像安全可以从镜像构建安全、仓库安全以及镜像分发安全三个方面加固镜像安全能力。

    (3)运行时安全:容器以进程的形式运行在主机上,运行的容器进程是隔离的,它拥有自己的文件系统、网络以及独立于主机的进程树。有别于传统环境,为了保证容器的稳定运行,在容器环境下需要从主机、容器实例、镜像等多个层面进行监控审计。采用基于信誉行为控制的方式对容器运行时状态进行监控。运行时容器基本上都是单服务,每一个容器只跑一个服务,所以环境足够单纯。每一个容器都像一个采集器,有助于收集数据,然后通过机器学习进行行为分析,一旦发现异常行为就能够及时报警。此外通过容器研究和流量分析也能够建立对应基线。当然也可以采用白名单对工作负载进行微隔离。

    (4)编排安全:容器技术的成熟推动着微服务的发展和落地,越来越多的企业开始采用微服务架构来组建自己的应用,其中,容器编排工具管理着承载各类服务的容器集群。无论是 Kubernetes 社区还是第三方安全机构均针对 Kubernetes 中组件和资源的安全进行了相应改善和安全加固,包括计算资源安全、集群安全及相关组件安全等。这块需要重点考虑是隐私管理、授权管理、身份防控制、编排控制面、网络证书等都需要全面考虑。
    `

  12. 云安全环境下恶意脚本检测的最佳实践
    http://yundunpr.oss-cn-hangzhou.aliyuncs.com/2020/xcon2020.pdf
    `
    01. 恶意脚本攻防现状
    为什么要做恶意脚本的能力建设以及我们遇到的困难

    02. 恶意脚本检测方案
    我们对于恶意脚本检测的最佳实践

    03. 高对抗轻量级脚本沙箱
    介绍沙箱设计动因和目的,并基于样本示例展示沙箱的部分核心技术

    04. 恶意脚本检测未来
    我们对恶意脚本检测领域的看法
    `

  13. 从被动检测、被动防御到主动防御 — 运行时验证执行代码
    https://mp.weixin.qq.com/s/QSqiwsHWF9lRpPcQmviGGQ
    `
    关键词:可信计算,主动防御,运行时防护,入侵检测,应用程序白名单

    Linux本身存在各种安全机制和安全工具,但由于以下各种原因,其安全现状很不理想。
    1. Linux使用场景的多样化。有云环境、IOT环境、工业互联网环境等等。每种场景下,其安全威胁和要求相差很大,很难有统一的”安全银弹”。
    2. 在每种使用场景下,都会有对内核、系统组件的各种改动。且不管自己引入代码的安全威胁,很多人为了方便把为数不多的安全功能直接关闭、禁用。
    3. 缺乏专业的安全人员。很多中小公司都是运维人员兼职安全工作,安全问题频发。
    4. 专业知识的匮乏、没有针对自己场景的安全规划。不管什么安全问题,使用百度一搜,也不理解是否适合自己的场景,更分不清哪些是pr文章、哪些是自己可以利用的。举个例子:零信任比较火,大小公司都上零信任。
    5. 当前情况下,“蓝军”知识、人才还是比正向安全建设的多。加上圈子文化,宣传的单一化,形成漏洞、渗透、逆向等于安全的错误印象。

    由于场景的多样化,使用HIDS不一定适合自己的实际场景。
    1. HIDS是事后、事中检测和防御工具,属被动安全工具。
    2. 尽管有开源的HIDS工具,但不一定适合自己的场景,多数场景下都需要定制化开发,涉及到不少的开发量。
    3. 部署也需要一定的机器资源、网络资源。
    4. 部署后也要有相应的人员运营。数据分析、误报、漏报、应急响应都会让运营人员累的够呛,还没有成就感。
    5. 由于系统版本和开发人员的技能差异,HIDS实现上有不同的缺陷,如数据收集不全、资源使用过多,有的实现还比较容易绕过。

    应用程序白名单
    1. 不在白名单中的代码不允许执行。
    2. 很多恶意目的都是以可执行程序、so库、脚本程序、webshell等为载体完成。
    3. 也可阻止以执行代码为载体的漏洞利用。

    MC的使用要求
    1. 要求使用者充分了解自己的系统,充分了解系统上运行的软件。哪些可以加入白名单,哪些不能,哪些是信任的软件,哪些是不信任的软件。
    2. 在充分了解自己场景的基础上,能设计适合自己场景的规则,系统更安全且消耗更少的资源。
    3. 优先配置MAGIC规则,其次是MIME规则,最后是忽略路径EPATH规则。EPATH尽量少使用,如果使用,尽量精确到文件。如果能设计适合自己的MIME系统,完全可以不用EPATH。
    ==

    基于一点——“要求使用者充分了解自己的系统,充分了解系统上运行的软件”,上述文章中的MC就很难在互联网厂商中跑起来,nobody可以保证对公司内的系统足够了解,虽然理论上你对系统越了解就越好做安全防护和性能优化,但是理论和实际是有差距的,且小公司/初创团队这一差距尤为明显,为了让公司能活下来/能做大,团队需要做出不同的尝试和不断的更新才能满足更多/更高的要求,可能最初是一个非常干净的裸系统,但是时间长了,没人能说清楚系统上有什么,哪些要用哪些不用;如果想快速和干净,我为什么不用docker呢?启动更快更纯净;而且现在大公司的趋势就是K8S——容器编排,虚拟机的场景都少了很多。

    老版本内核也不知道MC支持的如何,内核版本碎片化的问题怎么解决,还有上面的业务环境的硬伤;新版本内核有eBPF,业务的接受度高,安全运维的可观测性强,资源占用/后续发展也很好……所以,你觉得呢?
    `

  14. netlink实时获取网络信息原理分析
    https://www.anquanke.com/post/id/288932
    `
    Netlink is used to transfer information between the kernel and user-space processes. It consists of a standard sockets-based interface for user space processes and an internal kernel API for kernel modules.
    Netlink用于在内核和用户空间进程之间传输信息。它由一个面向用户空间进程的标准套接字接口和一个面向内核模块的内部内核API组成。

    简单来讲netlink实现了一套用户态和内核态通信的机制,通过netlink能和很多内核模块通信,例如ss命令通过 netlink 更快的获取网络信息、hids通过netlink获取进程创建信息、iptables通过netlink配置网络规则等。

    # 一些限制
    netfilter conntrack本身是一种成熟的网络连接状态信息跟踪方案,其功能正符合“新建网络连接监控”这一场景,使其在性能、实时性、兼容性方面都有不错的表现。可以通过conntrack-tools快速体验一下这个监控方案:

    yum install conntrack-tools -y
    conntrack -E -e NEW

    但在测试过程中发现系统内核版本相同的机器,有的可以使用netlink获取实时网络连接信息,有的不行。分析源码不难发现netlink模块是通过core_initcall(netlink_proto_init)默认加载的,而netfilter的相关模块是不会默认加载的。通过Makefile也可以看到nf_conntrack_ipv4内核模块中包含了我们需要使用的nf_conntrack_l3proto_ipv4:

    # net/ipv4/netfilter/Makefile
    nf_conntrack_ipv4-objs := nf_conntrack_l3proto_ipv4.o nf_conntrack_proto_icmp.o
    obj-$(CONFIG_NF_CONNTRACK_IPV4) += nf_conntrack_ipv4.o

    因此如果要通过netlink获取实时网络连接信息需要加载这几个内核模块:nfnetlink nf_conntrack nf_defrag_ipv4 nf_conntrack_netlink nf_conntrack_ipv4,使用modprobe命令加载nf_conntrack_netlink nf_conntrack_ipv4即可自动加载其他依赖模块。
    `

    https://man7.org/linux/man-pages/man7/netlink.7.html
    https://github.com/torvalds/linux
    https://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter-packet-flow.svg
    https://zhuanlan.zhihu.com/p/567556545
    https://github.com/ti-mo/netfilter
    https://blog.csdn.net/u010285974/article/details/107808108
    https://mp.weixin.qq.com/s/wThfD9th9e_-YGHJJ3HXNQ
    https://mp.weixin.qq.com/s/O084fYzUFk7jAzJ2DDeADg
    https://mp.weixin.qq.com/s/ZX8Jluh-RgJXcVh3OvycRQ
    https://www.netfilter.org/projects/conntrack-tools/downloads.html

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注