案例概述
2017年11月27日,泰合北斗服务人员在某政府单位安管平台发现了“L3_MC_WebShell命令执行”告警,告警显示黑客使用工具连接已上传好的WebShell并成功执行系统命令,北斗服务人员依托泰合安管平台迅速对攻击告警过程进行追溯和分析,发现其WEB服务器已被植入了9个后门程序。
安全事件发现
2017年11月27日,该单位安全管理平台产生的“L3_MC_WebShell命令执行”告警。
对告警内容进行判断过程中,发现攻击者已经连接webshell并执行了远程命令“net user”,返回结果中列出了系统中的账户。
安管平台事件分析过程
泰合安全管理平台的核心功能是收集用户业务环境中各类设备的安全日志,在采集层对日志进行过滤、归并、范式化、补全等一系列ETL数据处理过程,对日志数据进行降噪,保留有效数据;然后在平台分析处理层进行自动化、智能化的关联分析,发现真实的安全威胁,并协助运维人员对安全告警进行处置。
1)安全日志的采集
用户在网络环境中构建部署了安全产品,包括入侵防护系统(IPS)、WEB应用防火墙(WAF)、防火墙等,泰合安全管理平台收集了用户网络环境中安全设备相关的日志数据。
2)安全日志ETL处理
泰合安全管理平台对接收到的日志进行范式化解析,对原始日志中的重要字段进行提取,对日志中缺少的关键信息进行了补全。
◆ 对原始日志内容进行提取:对原始日志中的源地址、源端口、目的地址、目的端口、目的对象、操作、结果、响应信息进行了提取。
◆ 对事件属性进行自动补全:对日志中没有体现出来的信息进行了补全,如对事件分类、报送日志的设备地址、设备类型、设备厂商、设备型号、网络区域、网络位置等日志中缺失的信息在日志范化过程中进行自动补全。
3)事件关联分析
北斗服务人员根据WEB攻击的特征定制了规则“L3_MC_WebShell命令执行”,WebShell连接时使用HTTP协议,请求失败时通常返回404状态码,请求成功时通常返回200状态码,所以HTTP协议的状态码就成了判断告警是否为有效告警的依据,在此案例中将200状态码作为规则的条件之一,目标系统为web服务器,关联规则分析场景的可视化编辑界面如图所示:
触发告警的事件:
针对事件中攻击者访问的xx.php文件,在WEB服务器系统上进行本地检查找到该shell脚本,确认为WebShell文件。查看文件内容信息如下:
4)生成告警与追溯
利用当前告警的源地址和目的地址分别展开调查,查询一个月之内的全部相关事件,经过统计发现该系统已经存在9个webshell文件,访问次数图如下:
告警响应与处置
北斗服务人员协助安全管理员进行告警处置,由于正值重要安全保障期间,采取紧急措施,将系统及时进行离线。
本案例中,针对平台产生的“L3_MC_WebShell命令执行”告警,泰合北斗服务人员给用户告警的处置方案如下:
1)删除webshell相关文件;
2)对受影响的系统进行全面的安全评估,查找入侵成因,修补相应的安全问题;
3)在互联网边界防护设备上,启用防护策略,对利用WebShell攻击的事件进行阻断。
(来源:启明星辰)
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
