云端博弈——云安全入侵取证及思考

 云计算平台是目前比较火的产业,腾讯也有面向企业和个人的公有云平台——腾讯云。笔者所在的腾讯安全中心也负责腾讯云的部分安全职责,因为工作关系,笔者也经常处理腾讯云上的安全事件。本文通过对腾讯云上的一次入侵取证分析实际案例,以小见大来窥探云计算平台(特别是公有云)的安全建设思路,希望对大家有帮助。

某次接到系统报警某商户主机出现可疑文件,需配合调查。通过后台数据很快确认了问题,并结合其他取证手段捋清了整个事件。现已对腾讯云商户发布了安全预警。整个事件在技术对抗上并无可圈可点之处,但通过此类事件,发现我们不少云安全工作的问题,值得反思。

后台数据取证
Ø 可疑文件是一个shell脚本,它执行了下载和启动其他木马的命令


Ø查询文件生成时间和wget 关键字在后台数据中查询到是通过webserver执行的命令,也就是说可能存在web漏洞,同时因为是sudo调用的php进程所以可疑获得root权限;
Wdcp这个系统安装时会在sudoer这里设置允许wdcpu这个账户执行sudo调用前述程序。导致一个web漏洞获得了root权限,这样的方式太危险了!

主机取证
Ø登陆wdcp系统的DB查看这个后台管理系统的登陆记录,在前述的命令执行时间区间内我们看到了一个IP登陆了后台,但是他为什么能登陆后台呢,密码那里来的?;

Ø根据webserver的log可以看到他是通过cmd.php执行了命令,但这还解决不了前面的问题;

Ø以来访IP作为起始调查条件对web日志取证,发现一共有2个IP访问了cmd.php,而且同时还会访问/mysql/add_user.php

 Ø根据网上的信息发现,整个漏洞的起因就是add_user.php,它的功能可以给mysqlDB添加账户,但它是不需要鉴权的!

Ø根据config账户的密码来看是黑客添加的无疑。

到这里整个入侵流程搞清楚了:

 

但这里依旧会有一个疑问,这里的攻击者到底是何许人也,腾讯云商户是被针对性攻击还是仅是漫无目的攻击的受害者?下面通过对攻击来源取证说明这个问题。

肉鸡取证
Ø分析木马文件,发现了木马控制主机IP

Ø通过技术手段,我们登陆了这台黑客的肉鸡,某国内云服务商的主机

Ø这里很清晰的看到此主机的主人即是黑客本人,整个桌面,以及几个月来,他的操作就仅限于抓取肉鸡等行为

Ø而且此时这台肉鸡还正在对外DDOS

Ø通过桌面上的黑客工具得到的管理员密码,也能确定此服务器主人就是黑客自身,惯用的密码,我们使用此密码进入管理员的会话

Ø管理员会话中,还有大量的木马控制端开启,有不少受害者


Ø根据登陆日志的记录,此来源IP即是前述腾讯云开发商被黑时的攻击来源,根据机器名判断是ADSL用户个人机(深圳宝安区电信用户)。


至此整个事件得以闭环。通过取证我们还掌握了攻击者的很多信息,诸如网络上使用的一些账户,上网习惯等等留作下一步工作之用,这里暂不赘述。

云安全思考
在此事件中我们原有的安全系统未能对全部攻击步骤自主自动告警,并输出整个事件脉络,甚至有部分细节未能在安全系统中得到展现,且投入了不少人力去跟进,这值得反思。
云服务与甲方自身安全工作应该是有区别的,云商户的安全风险不等同与我们原有公司业务的安全风险。他有如下特点:

1.     对外服务特点多样,与我公司自身的web\桌面终端\游戏类业务有区别;

2.     因服务器基本由商户自己维护,ACL设置以及其他基本安全加固措施匮乏,通过弱口令等手段入侵的案例占比80%;
3.     大量使用开源系统,非自研,通过开源系统入侵的案例占比15%;
4.     从国内外的云服务提供商的案例看来,有不少云资源被恶意(黑客)用户注册使用,本次案例是一个典型的例子。
以此来看云安全的主要矛盾并非是APT检测、1day\0day漏洞检测,而是基线安全,开源系统安全问题。针对此类问题我们的入侵检测系统,取证分析系统还有大量工作要做。围绕云安全工作后续还会有一些分享,敬请期待。

【via@腾讯安全