新型网络安全漏洞伴随着5G、AI、云计算、大数据等新技术的应用而出现,相较于传统漏洞,新型漏洞藏匿于技术底层,易造成全局性影响且完全修复的难度大,一旦被恶意利用,成为网络攻击源,将带来严重后果。
Ivanti发布的2021年《勒索软件指数聚焦年终报告》显示,在2021年之前发现的223个旧漏洞中,有56%仍在被勒索软件集团频繁利用。面对层出不穷、不断迭代的新型漏洞攻击,该如何实现有效防御?攻破漏洞防御难点?
9月15日,腾讯安全举办了《新型漏洞威胁攻防思路拆解》主题公开课,邀请到Pwn2Own世界冠军战队成员、腾讯安全技术专家尹亮,腾讯安全技术专家赵中树两位专家,分享了腾讯安全漏防护新思路,同时通过真实案例重现漏洞攻击场景,并提前剧透腾讯安全RASP+泰石引擎漏洞防护方案,以期帮助企业更好地实现漏洞防御。
以下为重点演讲内容:
重保期间新型漏洞攻击案例拆解
01 案例一:Log4j漏洞攻击
Apache的开源项目log4j是一个功能强大的日志组件,提供非常方便的日志记录功能。由于各种业务、运营软件在正常运行时都会或多或少的去打一些日志,因此log4j被大量的企业和系统使用。据数据统计显示,开源组件里有近两万的项目使用存在log4j漏洞的模块,该漏洞的影响面十分广泛,是一个核弹级的漏洞。
一种可能的攻击方式是:攻击者访问了业务的某个URL,在User-Agent中夹带了用于攻击的字符串。业务代码在处理这个请求时,通过调用log4j相关类和方法,把User-Agent中的攻击字符串打到日志里面,然后进一步进入到Java里面的LDAP的处理流程中去。
Java在处理LDAP时,会去访问攻击者控制的LDAP服务器,接下来进一步访问攻击者控制的HTTP服务器,下载攻击者预先编译好的内存马class文件并加载起来,在注入内存马之后,攻击者就能控制整个服务器,可以实现任意命令执行以及窃取服务器上的敏感信息。
通过WAF拦截log4j漏洞攻击流量时,它的攻击字符串能产生非常多的变化,技术能力一般的WAF很难完全处理这些变化,因此大家在选安全产品时,一定要选技术能力雄厚、有保障的安全产品。
02 案例二:文件上传攻击
在RFC2046规范里面,对文件上传数据包中各个字段的长度、内容等做了定义,但实际上各种web服务器并不完全按照RFC规范去解析,对各个字段的处理就有区别了。文件上传攻击的重点在于构造出WAF无法正常解析、但是后端web服务器能够正常解析的文件上传数据包。
在重保期间,通过信息收集获取到某个管理系统的地址,该登录页面可以用匿名手机号注册,登录系统后发现其中某个功能点存在文件上传漏洞,通过对上传数据包中Boundary、filename两个字段做各种变化和测试,最终绕过某个WAF,成功上传JSP WebShell。
03 案例三:内存马注入
内存马是无文件攻击的一种常用手段,核心原理就是动态地将恶意的组件添加到正在运行的服务器中。以java为例,客户端发起的web请求会依次经过Listener、Filter、Servlet三大核心组件,传统的java内存马就注入到这三大组件中,最近还新出现了有Valve、WebSocket等类型的内存马,通过访问内存马,攻击者可实现任意命令执行和敏感信息窃取,更加方便地控制服务器。
04 案例四:高版本Confluence OGNL表达式注入
confluence是一个专业的企业知识管理与协同软件,可以用于构建企业wiki。通过它可以实现团队成员之间的协作和知识共享,已经在超过100个国家,一万多个组织中成功地应用于企业内网平台支持管理及文档管理。
在实际案例中,通过探测发现某公司Confluence的补丁打的不全,但是现有的、通用公开的、回显型命令执行payload却无法触发,通过调试分析发现,Confluence在高版本中新添加了一个沙箱,在执行OGNL表达式之前,会拆解OGNL表达式,里面调用的静态方法、访问的属性、变量、常量都会去过黑名单,以此判断OGNL表达式的安全性。
但这是一种静态的检查,可以用动态的方法去绕,一种可能的方法是把黑名单中的字符串拆成两个,然后通过+号做拼接。这样就可以让现有的payload重新利用起来。
05 如何保障业务安全?
上述四个案例只展现了网络攻击的一小部分,然而,互联网上的攻击者往往躲在暗处,带着漏洞呼啸而至,他们也有着自身独有的一些攻击思路和方法,绕过各种防御机制实施攻击,给云上业务带来巨大的威胁。如何在不重启业务和不影响业务正常运行的情况下,精确地抵御漏洞已成为关键,腾讯安全RASP+泰石引擎漏洞防护方案可为企业带来新的思路。
腾讯漏洞防护新思路
腾讯安全技术专家赵中树,随后围绕漏洞防护背景、腾讯安全漏洞防御新思路和相关实战案例带来分享。
06 漏洞防护背景剖析
漏洞管理流程主要包含漏洞感知、漏洞分析、漏洞扫描、漏洞修复。漏洞感知方面,云镜集成了漏洞感知系统,实现从流量层面、主机异常行为层面感知新爆发漏洞的利用,同时腾讯安全团队拥有世界顶级漏洞挖掘专家去挖掘高危漏洞;漏洞分析层面则通过搭建漏洞环境、重现漏洞现场、分析漏洞成因、开发检测POC实现;漏洞扫描层面通过网络侧POC和主机侧POC检测漏洞,评估漏洞影响面;在弄清漏洞原理之后则会尝试在环境中去修复漏洞。
云原生时代,应用大都构建在大量开源组件之上,在海量开源组件、漏洞频发的场景中,传统热补丁技术并不适用。传统补丁存在的5大问题表现在补丁修复操作繁琐,修复过程存在兼容性隐患;漏洞问题层出不穷,频繁打补丁工作成本加大;零日漏洞加速出现,厂商提供补丁更新包却滞后;老旧系统无补丁更新,即便有用户也不敢去升级;以及老旧系统缺乏维护。
常规补丁尝试修复有问题的代码,虚拟补丁尝试拦截有问题的输入。虚拟补丁的防护策略则是根据位置的不同,分为以云防火墙、WAF为代表的网络侧的虚拟补丁,以及主机侧的虚拟补丁。网络侧的补丁流量牵引成本高、东西向风险不好解,输入流量到业务具体漏洞函数时,路径比较长,经过各种变形、encoding,特征不好提,误报、漏报问题不好解,同时HTTPS、非HTTP协议覆盖不到。在这种情况下,主机侧的虚拟补丁作为网络侧虚拟补丁的一个补充,二者结合,可以让云原生漏洞防御体系更加完备。
07 腾讯新思路:RASP+泰石引擎方案
RASP+泰石引擎方案将于9月21日正式对外发布,其具备“0day原生免疫”,“创新精准防御技术”,“创新免重启技术、即刻防御、业务不中断”,“1000万核历炼,稳定性99.999%”四大核心亮点,当前已灰度500名客户,上线以来100%防御log4j等漏洞攻击。
RASP+泰石引擎方案产品架构以主机安全Agent方式,注入防御插件到业务进程,管理插件生命周期、部署虚拟补丁,实现漏洞防御效果。在防御能力方面,可针对常见攻击行为做拦截,也可针对特定漏洞做精准拦截。
RASP+泰石引擎方案的优势首先体现在免重启零配置,可实现一键启停漏洞防御,无需用户配置接入的应用、无需用户修改应用启动参数,且启停过程无需重启业务进程,同时防御插件自动升级,不影响业务的正常运行;第二大优势便是防御插件覆盖广,支持JDK1.6及以上版本、支持主流Java应用框架,一个Agent进程同时支持主机、容器内应用;第三大优势则是防御插件体积小、风险低,使得插件占用的内存低、加载速度快,同时引入的三方组件少;第四大优势体现在防御插件性能损耗低,泰石引擎采用了无解释性的规则引擎,从而避免了在运行的过程中去动态做语法的解析和跨语言的调用,进而降低性能上的损耗。
08 漏洞防御实战案例
从某公司confluence漏洞被利用,某事业单位shiro漏洞被攻击,以及log4j漏洞防御实战案例来看,通过分析攻击者发送的请求中包含的表达式,发现其通过nslookup去做DNS回显,案例中各种绕过技巧,泰石防御引擎都能实现防护,在于该方案监控点离漏洞触发位置更近,拿到的特征也更准。
直播互动与提问
提问一:对于这些漏洞的防御都是基于hook的什么函数?泰石引擎方案支持对什么类型的漏洞做防护?
尹亮:这需要根据具体的漏洞去做具体的分析。按照前面所讲,漏洞类型主要分为两类,一类是比较通用的,例如各种表达式漏洞,针对这一类攻击可以用通用的补丁去做防御,另外针对特定的漏洞,则是利用专用的补丁去做防御,java类的90%以上的这种攻击,泰石引擎都可以覆盖到。
提问二:相比传统厂商,腾讯的方案有哪些差异和优势?
赵中树:传统厂商的传统补丁,一般是厂商针对自身应用去做修复进而提供新的版本,腾讯的方案的差异和优势在于,一方面通过通用的补丁针对漏洞攻击去做防御,另一方面会结合厂商提供的补丁去做分析,然后集成到防御引擎中。其最大的优势在于不会影响业务,不涉及更改业务的代码、逻辑及执行的流程,仅通过针对一些关键的有问题、有漏洞的函数的入口去做校验,进而去拦截恶意的输入,实现防御。
以上是本次《新型漏洞威胁攻防思路拆解》公开课两位专家观点的精华整理。腾讯安全作为国内领先的安全厂商,一直以来都通过输出安全产品和攻防经验,帮助企业建立完善的安全防护体系。
在应对漏洞威胁方面,腾讯安全主机安全旗舰版具备漏洞管理功能,可实现分钟级漏洞检测效率,在优化扫描性能的同时提升精准度;9月21日首度公开亮相的RASP+泰石引擎方案,可助力企业高效防御新型漏洞。未来,腾讯安全还将继续打磨安全工具,更好地夯实数字化转型的安全底座。
关于腾讯安全威胁情报中心
长按二维码关注
腾讯安全威胁情报中心