共计 2782 个字符,预计需要花费 7 分钟才能阅读完成。
编者按
数字化浪潮蓬勃衰亡,企业面临的平安挑战亦日益严厉。
腾讯平安近期将复盘 2022 年典型的攻打事件,帮忙企业深刻理解攻打手法和应答措施,欠缺本身平安进攻体系。
本篇是第九期,讲述了某游戏厂商被入侵后植入 rookit 木马,黑客暗藏掉了本人的拜访脚印,在多台主机上留下后门,来去自如。客户曾经大略晓得它从哪里攻进来,但就是没方法把它请进来。
腾讯平安专家团队接到客户应急响应需要,迅速赶往现场,并凭借着丰盛的教训,胜利将病毒从机器上连根拔起。
黄昏 6 点,当 20 出头的 zhipeng 顶着一张稚气未脱的脸孔呈现在办公楼大堂里,来接他上楼的某游戏企业 IT 部经理蔡工脸上闪现了一丝转瞬即逝的狐疑: 咱们一个星期都解决不了的难题,这个“小朋友”能解决吗?
这种狐疑只停留了一会儿,他目前还没有工夫去想这些问题。在接 zhipeng 去 22 楼 IT 部办公室的时候,他们从电梯里开始替换信息,到会议室的时候,zhipeng 曾经大略晓得了详情:7 天前,客户收到“云镜”(腾讯云主机平安产品)的站内信,提醒云主机有被入侵的痕迹。收到揭示后,他们把云上和本地数据中心全副排查了一遍,发现本地机器上也有多台机器失陷。他们解决了 7 天,依然没能阻断黑客的流动。
“3 月份的时候咱们内网被入侵了一次,然而没有彻底清理洁净,有一台测试机器存在安全隐患,但下面运行着业务部门很重要的一些应用程序和数据,他们不批准下掉,这台机器始终就裸露在公网上,黑客应该就是从这里作为跳板攻进来的。”蔡工向 zhipeng 介绍状况。
黑客进来之后收集了很多内网主机的账号密码,对其余主机进行暴力破解登录,并在不少机器上留下了后门,能够随时自在出入,如入无人之境。 当初,尽管蔡工他们大略晓得了黑客从哪里攻进来,然而对于如何把黑客“赶出去”不得其法。
“咱们用破绽扫描工具扫了,病毒查杀工具也查杀了,发现有残留黑客工具的主机也进行了网络隔离或重装,做了咱们所有能做的致力。”在过来的一周内,他们通宵达旦,用上了所有已知的解决办法,然而每次清理完不久,黑客又会不请自来。
zhipeng 听着 IT 共事阐明状况,一边翻阅他们之前的解决日志,一边和腾讯云鼎实验室总部的攻防团队沟通失去的信息。 两个小时的沟通和研判后,他心里曾经晓得了大略:这是一个难解决的 rookit 木马攻打。
zhipeng 介绍道,市面上常见的攻击方式,无外乎命令劫持或者是命令替换、预加载劫持、dll 劫持等,可能只是去替换了系统文件,或者批改预加载的环境变量来实现命令的劫持绕过,个别不难解决。然而在这个事件中,黑客应用的 rookit 劫持了零碎内核,做了很高级的暗藏形式,把木马的过程文件全副暗藏,把零碎的要害函数间接 hook 掉了,用惯例的排查伎俩排查不进去。这也是为什么客户致力了一周也没有解决掉这个木马的起因。
不光是这家游戏厂商,换作大部分其余企业,哪怕是一些 IT 团队精兵强将的大企业也未必能解决。平安易攻难守,攻击者能够以很低的技术老本从公开渠道上找到 rookit 木马作为攻打武器,但企业作为防守方要想“解题”,必须要懂平安攻防、懂操作系统内核,这种技术人员是稀缺的,基本上只有业余的平安厂商或者长期裸露在黑客视线、领有丰盛的攻防实战的互联网企业才有这样的人员储备。
“咱们因为平时解决云上很多应急的案例,见得多了,一看就晓得这是什么类型的后门或者是木马病毒。”zhipeng 说。尽管从业工夫不算长,然而经验过几轮国家级重保我的项目的历练,他曾经是一个训练有素的攻防专家。
这就像一个经验丰富的医生,对病情的准确诊断,间接放大了治病的范畴和难度。
为了检索到底有哪些服务器中招,早晨 8 点多,zhipeng 开始写规定,蔡工则负责和运维共事一起将这些规定批量下发到云上和本地的机器上。这项工作有点像捕鱼,不同规格的鱼须要不同的渔网,而 zhipeng 是那个织网的人,他须要编织不同的渔网,把那些“鱼”——也就是失陷的机器捞进去。
规定有大类,一种是通用的攻打手法的辨认,这部分绝对容易解决。“有一些机器它被入侵之后,会有 ssh 爆破的记录,是非常明显的特色,咱们就能够间接去也把它标记成被入侵的机器,这一批机器咱们能够让经营部门做一个网络隔离的操作。”zhipeng 说。
而在理论的攻防中,黑客会批改攻打手法,绕过检测,尤其是在这样一个波及零碎内核的 rookit 木马攻打中,黑客的手法比个别的攻击者更加高超。正所谓“一个好汉三个帮”,zhipeng 须要和腾讯平安总部平安钻研部门的共事一起剖析从机器上失去的样本,提取一些特色,一直去优化规定,找出一批失陷主机;再织一个新的“渔网”,又找出一批。
(腾讯平安专家团队正在对病毒样本研判剖析)
这个过程中,通过对病毒的逆向,zhipeng 也证实了黑客攻击源头确实是 3 月份那台没有解决的测试机。黑客将该主机做作为跳板,进一步入侵内网其余主机,通过植入 rookit 木马,用反连的形式让内网主机继续向黑客所在的公网 IP 建设连贯,让黑客得以随时进入内网——最终,zhipeng 他们也将通过内网主机出网的通信流量来判断是否彻底清除了木马。
每一项规定的下发须要工夫失效。凌晨三点,下发完当天最初一批规定,zhipeng 打算去酒店劳动,这时候才发现核酸生效,曾经黄码了。那个早晨,zhipeng 是在医院的黄码检测区度过的。
这项“捕鱼”的工作始终继续到第二天下午。“头一天的规定失效了,第二天咱们依据总部提供的特征值,又下发了新的规定,才真正找进去来几台还残留木马的一些主机。”zhipeng 说。蔡工和共事一起把这些感化的零碎全副进行了系统重装,黑客留在机器上的后门也一并被删除了。
做完这所有,蔡工他们发现外部主机不再有和黑客 IP 建设网络连接的行为。“木马被咱们彻底清除了!”蔡工看 zhipeng 的眼神,曾经变成了由衷的称许。
在此之前,出于老本的思考和侥幸心理,这个游戏企业的本地机器都没有装置平安产品,处于“裸奔”状态。经此一役,蔡工向老板申请了主机平安产品洽购申请,很快失去了批复。目前他们的重要的机器都曾经穿上了防护罩。“教训摆在这里,当前再产生平安和业务抵触的状况,我想咱们应该更容易压服他们了。”
回到文章结尾的问题,让客户疑虑的这个 20 出头的“小朋友”,其实曾经是一个货真价实的平安新手,他的经验甚至有古典主义黑客的色调:并非科班出身,但因为趣味驱使而抉择了从事网络安全业余。zhipeng 大学业余是软件工程,然而因为趣味,从很早开始就自学网络安全,大二去了国内顶尖的平安技术团队实习,毕业后又来了大牛星散的腾讯平安。
“你们学校有网安趣味社团吗,你肯定是沉闷成员吧。”小编。
“那个社团是我开办的。”说这句话的时候,zhipeng 致力拆穿,但依然闪现出了一抹少年人特有的得意。 平安回归到实质是人与人的反抗,腾讯平安汇集了一群这样的人,这才是在攻防中制胜的真正秘籍。
