内存马大破堡垒机 微步小伙巧抓攻击者
7月27日晚上9点左右,某单位的微步一线人员登录堡垒机,不料却提示密码错误。我们迅速联系原厂修改密码,登录后,确定是被攻击了。立即隔离被入侵的主机,以控制事态、避免影响扩大,随后溯源。
接下来就是用内存马检测工具去验证我们的判断。能检测内存马的工具其实不少,原理也都类似:通过Java Agent技术将检测代码注入到内存中,但在哪儿检测就有讲究了:
-
一些HIDS直接在内存中检测,这种检测方式的优点是能做到事前预防,但缺点同样明显,在内存中检测会占用较多的计算资源,对正常业务产生影响。
-
另一种方法是利用Agent技术进入JVM后,遍历筛选可疑的类,然后dump到硬盘,将类字节码反编译为Java代码后,再进行恶意代码检测。目前EDR类产品多使用这一方法。
原来攻击者通过利用内存马获得了主机B、主机C,以及堡垒机admin账户密码。随后登录、修改堡垒机admin账户密码,并先后创建了Windows和Linux服务器,分别运行superscan与nmap扫描程序。
内存马入侵隐蔽高 行为检测抓异常
在另一次演练中,作为防守方的微步在线团队接到主机检测与响应平台OneEDR告警:某主机存在Webshell文件。
对反编译后的类文件进行二次研判,发现是Webshell管理工具“哥斯拉”注入的Servlet类型内存马。与案例中filter类型内存马同属一个大类,只是利用的组件不同,如下图:
相比案例一的嚣张行为,案例二中攻击者的行为相对较为隐蔽,但仍被发现了,这其中很重要的工具就是OneEDR——这是微步在线旗下的一款主机威胁检测与响应平台。
在案例二中, OneEDR通过单点检测对异常行为进行告警,更重要的是,OneEDR还利用了机器学习成果,将攻击产生的异常行为聚合起来,并打分,以确定并非误报。并且事件聚合功能还能防止漏报:OneEDR针对的是整个攻击行为,哪怕漏掉一两个异常行为,并不会影响告警结果。
写在最后
据Dynatrace不完全统计,2020年被发现的勒索病毒攻击成功的事件中,有超过80%是通过无文件方式完成的。并且,越来越多的Java漏洞利用工具都集成了一键注入内存马的功能。
攻防双方的对抗技术总是螺旋上升的,尽管当前的内存马检测技术并不完美,但我们坚信,软件开发者与网络安全从业者最终可以找出更加简便、有效的内存马防御解决方案——再狡猾的狐狸也斗不过好猎人!
哦原文始发于微信公众号(微步在线):今年HVV内存马杀疯了,怎么破?
