关于网络安全:你的服务器都是怎么被拿下的|攻防演练真实案例

91次阅读

共计 2168 个字符,预计需要花费 6 分钟才能阅读完成。

2023 年 6 月的一天,A 公司的平安运维老张正在加班加点进行最初的红蓝演练防守,忽然收到了 一条反弹 Shell 高危命令告警。

告警显示,有攻击者通过 /bin/sh- c 命令执行 /usr/bin/bash- i 命令,希图近程管制公司的一台主机。

(反弹 Shell 告警)

老张连忙登陆被入侵主机,但发现服务器的系统日志曾经被攻击者删除,找不到攻击者留下的蛛丝马迹。而在此时,公司内网的其余主机也陆续收回被攻打的警报,攻打局势进一步降级。

就在这个危急时刻,腾讯平安的事件专家陈工带着残缺的事件调查后果找到了老张,帮忙他还原了整个攻打门路。

(主机平安自动化事件调查流程示意)

陈工说,“这次入侵是典型的破绽利用,攻击者利用 Apache Shiro 反序列化破绽,在主机中执行了反弹 shell 命令并植入公钥,胜利管制了指标主机,并尝试收集主机的敏感信息。

这是一个教训十分丰盛的攻击者,在拿到主机控制权后,便迅速建设据点,利用内网穿透工具 NPS 进行内网穿透,向内网的主机发动了扫描探测、暴力破解、破绽利用等内网横向挪动操作。”

依照老张以往的教训,以前这样的入侵起码要花几个小时能力摸清门路,而部署了腾讯主机平安旗舰版后,整个事件的考察只花了几分钟,极大地提高了威逼响应和处理的效率。

陈工解释道,腾讯主机平安旗舰版具备自动化的事件调查能力,企业部署旗舰版后,检测引擎会对主机中的过程、文件、网络日志等进行实时检测,一旦发现危险便会即刻告警,并且依据腾讯平安专家的实战经验自动化回溯日志,并还原攻击者的入侵门路及残缺的入侵后行为。

找出攻打的本源后,老张迅速分割相干共事进行破绽的修复。“不过,检出这个破绽的机器真不少,看来明天又是须要大家加班的一天了。”

“不必焦急,目前这个破绽已反对主动进攻,你只需点一个按钮,就能一键开启破绽进攻,攻击者就无奈探测、利用这些热点破绽了。”陈工说。

(主机安全漏洞进攻性能)

作为企业云上的最初屏障,主机一旦被攻陷,企业外围资产将奄奄一息,甚至会威逼到整个内网的平安。因而,在重保这一非凡期间,主机平安是重中之重。

在应急破绽频发、新型攻打层出不穷的当下,除了须要具备绝对全面的平安加固和入侵检测伎俩外,企业还须要为主机部署肯定的防御能力和溯源能力,能力在人力、精力遇到瓶颈时,从告警风暴中解放出来,高效辨认并集中资源解决关键问题。

在重保之际,分享一部腾讯主机平安的必胜宝典:

秘籍一:通过“WeDetect 引擎”发现已知、未知新型攻打

攻打伎俩变幻无穷,如果仅关注繁多维度的告警,经常会陷入到告警风暴中。主机平安“WeDetect 引擎”反对南北向、东西向的攻打流量检测,能够自动化联合入侵事件产生的多维度数据,自动化实现对攻打事件的关联、剖析、实锤,缩小有效告警、发现无效安全事件。同时利用攻打武器检测技术、实时流剖析检测技术、未知威逼剖析检测技术,具备多类已知威逼与未知威逼的检测能力。

(WeDetect 引擎)

应用主机平安网络攻击性能,借助 WeDetect 引擎能力,实时感知主机端歹意攻打流量,疾速理解攻打趋势,解决失陷事件。

(主机平安网络攻击示意图)

秘籍二:先缓解再修复,用“泰石引擎”一站式晋升破绽防护效率

破绽是攻击者撕开防线的重要武器,借助腾讯云泰石引擎能力,能够一站式晋升破绽防护效率和成果。首先,开启 RASP+ 精准破绽进攻,能够为服务器注射一剂疫苗,在不影响业务的状况下,对东西向流量、变形流量等传统网络安全产品难以防备的攻打进行拦挡,为破绽培修争取时间。

同时,可依据以后破绽攻打热度、是否存在在朝利用攻打等多维标签,自定义筛选高优修复破绽。

(主机平安自定义筛选高优破绽)

借助破绽主动修复工具对局部破绽进行主动修复,可大大晋升破绽经营效率。

(主机安全漏洞主动修复性能)

秘籍三:部署高级防御能力,并做好容器内平安防护,照亮隐秘的角落

为了长久化浸透指标内网,攻击者会利用各种隐秘的后门技术来进行短暂的权限维持并进行痕迹清理。这时,企业须要部署肯定的高级威逼防御能力,对 Rootkit、内存马、crontab 后门等入侵行为进行辨认。

除了高危命令、歹意申请、木马植入等 7 大入侵检测伎俩外,主机平安还具备新型威逼感知能力。以无文件落地的内存马为例,主机平安可对 JavaWeb 服务过程内存中存在的未知 Class 进行捕获,自动识别数十种内存木马,笼罩 JSP 代码、反序列等多种注入场景。

同时,主机平安容器版能够反对容器环境下从镜像构建到容器运行时全生命周期的平安危险,让容器资产不再成为防护盲区。

秘籍四:正本清源,通过“Cyber-Holmes 引擎”还原事件全貌

只有找到入侵的源头,能力封堵入侵门路,从基本解决入侵威逼。“Cyber-Holmes 引擎”,寓意“网络空间威逼神探”,基于腾讯云端平安告警数据和平安常识图谱,集成若干种威逼剖析检测引擎与事件自动化考察引擎的能力,提供威逼告警与可疑样本智能剖析服务。企业能够以受害者资产视角查看残缺攻打溯源链路,疾速还原入侵事件。

企业能够借助主机平安、容器平安能力筑牢服务器最初一道平安防线,同时联动腾讯云防火墙、WAF、云平安核心,构建“3+1”平安防护体系,实现从互联网流量边界、Web 服务,再到工作负载层的全方位防护,全面晋升数字平安免疫力。

(腾讯云原生平安“3+1”防护体系)

分割咱们,申请收费试用

正文完
 0