2015年11月16日，國內(nèi)著名安全研究團隊啟明星辰積極防御實驗室成功捕獲了國內(nèi)首例利用Redis漏洞實現(xiàn)的DDOS僵尸網(wǎng)絡控制樣本。自Redis漏洞被公布以來，網(wǎng)絡空間出現(xiàn)了大量利用該漏洞的攻擊事件，但利用該漏洞快速部署僵尸程序，并通過僵尸網(wǎng)絡實施高強度的分布式拒絕服務攻擊還是首例。

深厚的攻防技術積累與全新的檢測產(chǎn)品-XDS有效協(xié)同是本次樣本被捕獲的關鍵。

我們在某企業(yè)客戶IT系統(tǒng)現(xiàn)場捕獲了該僵尸程序樣本，并幫助該用戶成功清除了該僵尸程序,這得益于該用戶部署了XDS產(chǎn)品。在XDS產(chǎn)品上線之時，啟明星辰安全運維專家協(xié)助用戶，結合該用戶IT環(huán)境特征與應用系統(tǒng)的邏輯特征制定了相應的應用異常檢測規(guī)則，其中：WEB服務器業(yè)務流白名單是本次樣本捕獲的關鍵規(guī)則集。該WEB服務器對互聯(lián)網(wǎng)提供某種數(shù)據(jù)服務，后臺具有數(shù)據(jù)庫服務器，企業(yè)內(nèi)部有嚴格的運維規(guī)范，因此制定的業(yè)務流白名單規(guī)則包含了如下部分關鍵邏輯：

1）該WEB服務器僅能夠被互聯(lián)網(wǎng)終端通過80端口訪問

2）新建連接必須從登陸頁面開始訪問

3）WEB服務器可以主動訪問內(nèi)部特定終端，禁止主動訪問互聯(lián)網(wǎng)

4）內(nèi)部運維接口固定IP地址

5）對數(shù)據(jù)庫的訪問僅能通過該應用系統(tǒng)的標準數(shù)據(jù)庫訪問JDBC接口進行數(shù)據(jù)庫訪問。

任何違背以上規(guī)則的流量將觸發(fā)告警，同時XDS產(chǎn)品會連續(xù)抓取5分鐘的流量數(shù)據(jù)供安全運維人員分析。

2015年11月15日，該用戶發(fā)現(xiàn)XDS產(chǎn)品報告了一條WEB服務器對互聯(lián)網(wǎng)的一次主動訪問事件，請求啟明星辰安全運維專家協(xié)同分析該事件。現(xiàn)場，我們提取了XDS產(chǎn)品留存的5分鐘流量信息并進行分析，即刻發(fā)現(xiàn)了明顯的被控制特征--WEB服務器短時間內(nèi)向特定IP發(fā)送了大量的隨機報文，隨后安全專家追溯了XDS產(chǎn)品的歷史事件，還原了完整的攻擊鏈條，并在WEB服務器某目錄下找到了僵尸程序，完成了樣本的提取與清除。攻擊鏈條如下：

2015年11月15早晨，黑客利用Redis未授權漏洞，通過6379端口成功入侵了該用戶的WEB服務器并植入SSH公鑰。該行為觸發(fā)了上述第一條XDS規(guī)則，并發(fā)生了告警。

隨后，黑客通過SSH向WEB服務器傳遞了僵尸程序，同樣該行為觸發(fā)了上述第一條XDS規(guī)則并產(chǎn)生告警。可惜前兩條告警發(fā)生時，用戶并未關注安全狀況，錯失了防御的第一時間點。

最后黑客顯然為了進行僵尸網(wǎng)絡的功能測試，隨機發(fā)起了一次小規(guī)模拒絕服務攻擊，此行為觸發(fā)了上述XDS第三條規(guī)則。幸運的是，此時用戶注意到了本次報警并開始處理該事件，防止了WEB服務器永久的成為僵尸網(wǎng)絡的一部分。

當前黑客的組織性比以往更強，對0DAY，NDAY漏洞的利用效率極高，通常0DAY、NDAY漏洞一旦被黑客圈掌握，在極短的時間內(nèi)就會形成有效攻擊，這導致了傳統(tǒng)的入侵檢測方法在漏洞剛剛被發(fā)現(xiàn)的一段時間內(nèi)是失效的。啟明星辰新推出的XDS產(chǎn)品基于開放式檢測架構，可以快速部署與用戶應用結合的安全檢測規(guī)則，實現(xiàn)以不變應萬變。該僵尸程序樣本被捕獲的當日，啟明星辰升級了XDS產(chǎn)品的攻擊特征庫，可以實現(xiàn)對該樣本的精確檢測。

啟明星辰XDS安全事件分析團隊