主动防御,拒绝”肉鸡“

2018年04月07日 作者: 瀚思科技

传统以防御为核心的安全策略已经过时,基于大数据的主动防御机制对企业的系统、应用和用户访问行为数据进行关联、分析和挖掘,并采用机器学习和算法来检测异常行为,正越来越多的应用到企业的安全保护中。

发现入侵问题、定位入侵问题、溯源发现入侵途径、呈现入侵攻击全貌是大数据安全分析平台能力的重要体现。在确切掌握入侵攻击的具体信息后,可以快速采取处置措施,杜绝出现反复被黑产利用当作“肉鸡”的类似事件。

近期瀚思科技为某制造业客户部署大数据安全系统,在历史数据检测中发现一例客户系统被利用phpMyAdmin漏洞入侵,成为被控制的“肉鸡”,并远程发起DDoS攻击的事件。

事件背景

瀚思科技在某制造业客户的历史数据中检测到服务器的phpMyAdmin页面被文件包含攻击,并且成功执行了远程脚本,发起DDoS攻击,通过瀚思大数据分析平台对整个攻击事件进行了溯源分析

事件调查过程

问题发现

瀚思科技安全分析人员通过瀚思NTA输出的告警发现存在大量“针对phpMyAdmin攻击”和“文件包含攻击”

“针对phpMyAdmin攻击”详情

“文件包含攻击”详情

问题分析

通过瀚思企业版事件查询对相关告警事件进行溯源,得到外网机器提交的请求内容如下:

以上请求内容中有两点异常:

(1)攻击者直接访问了phpMyAdmin的setup.php页面。瀚思科技分析人员通过访问该页面,发现这个页面可以直接通过公网访问,没有任何权限限制,存在非常大的安全风险。

(2)攻击者提交的请求中包含action,其中action内容被URL编码,还原action内容如下,可见攻击者通过action复写了phpMyadmin的配置文件,从而下载并执行远程ftp上的php脚本,远程php脚本分别为:ftp://xx.xx.xx.xxx/pub/cj.php和ftp://yy.yy.yy.yyy/.x

脚本内容如下:可见这两个脚本主要作用为发起DDoS攻击。

问题验证

通过瀚思大数据分析平台验证内网服务器存在有上述ftp服务器的21端口通讯的事件,说明远程文件包含攻击成功。

事件处理结果

已将问题和处理建议报告给客户。协助客户解决漏洞问题,并清除感染,做好进一步防护。

建议及预防

1)经查证内网服务器使用的phpMyadmin版本不是最新版本,存在远程文件包含漏洞,建议所有使用phpMyadmin旧版本的服务器升级到最新的4.8.0版本。

2)phpMyAdmin可直接通过公网访问,存在非常大的安全风险,建议客户严格控制访问权限。

3)使用瀚思大数据分析平台对相关事件进行长期监控,第一时间感知安全风险,及时处理避免相关安全事件造成更大的破坏。

利用瀚思大数据安全分析平台以及NTA的实时流量分析,并结合全球威胁情报,可以在第一时间侦测出黑产的攻击,通过大数据安全分析平台提供的溯源分析功能,可以快速定位问题、找到入侵攻击途径,展现入侵攻击全貌,并采取相应措施实现主动防御,帮助客户抵御攻击,拒绝成为黑产的“肉鸡”。全面提升客户的安全防护水平。