最近,百度云服务器安全系统洋葱协助部署在公网的合作伙伴捕获APT事件,现在已经处理完毕。处理过程中捕获木马样品,该样品包括许多隐藏攻击方法,洋葱队与百度安全应急响应中心(TSRC)传承建设行业安全生态基本原则,选用威胁信息处理周期时间模型整理该攻击方法,分析结果与行业共享。威胁信息处理周期时间(F3EAD)一词根于国防,是德国国防军为主战兵种各个指挥官设计的组织资源、部署兵力的方法。互联网应急响应中心参照该方法,分6个阶段处理威胁信息
某月某日,配置在合作伙伴公共云服务器上的洋葱系统警告发现有木马程序的嫌疑,紧急响应团队迅速启动紧急响应程序
技术人员等一键拉群,打电话访问。受害系统的隔离需要调查。安全系统、审计日志导出追踪分析。业务系统结构、代码相关资料的准备需要分析入侵突破点和影响范围。其次:依据安全系统的审计记录,恶意文件中存有另一个*.ko文件,该文件根据scp从另一个服务器传输。由此可见,攻击者首先获得有弱点的服务器权限,然后跳转scp木马文件,根据包括当前受害者在内的攻击服务器可以访问的机器,并安装控制。其次,重点分析这个木马文件,依据AV制造商的命名规则(附录1),暂时命名为“Backdor:Linux/Rmgr”rookit",其中“rmgr”来到木马代码,多个函数使用rmgr前缀。目前了解的木马文件分成四部分,其功能简要说明木马从植入到运行,后续可能的渗透活动选用各种技术隐藏,没有安全系统很难发现。同时,这匹木马也做了很多对抗,通常的安全监视能力不一定能被发现。其运行流程简述如下图所示。
这儿具体是指加固,防止被攻击者用同样的方法攻击。具体手段如下:
1.突破点加固,补丁升级,ACL加固。
2.传输通道,删掉旧账户,修改攻击链路中的服务器账户,进行双要素认证。
3.依据用户角色限定可访问系统范围。
4.受害系统dump保存虚拟镜像,需要调查。
5.重新安装受害系统,重新安排业务环境。
6.新系统内核模块加载要求签名验证。