天玥业务审计系统,让Webshell攻击无处遁形

  一个案例

  2014年11月,在某部委职能部门,发生了这样一个事情。该部门有一个重要的服务网站,对公众提供信息查询和业务办理,每天的访问量超过百万。11月的一天,网站运维人员发现网站的文件目录下多了一个未知文件,怀疑网站遭到了攻击,但是没有发现其他线索,网站本身也没有记录到任何被攻击日志。

  巧合的是,几个月前,启明星辰发布了新产品–天玥业务审计系统,可以通过分析网络流量来监控针对业务系统的访问行为,业务部门正在使用此产品。于是,该运维人员联系到启明星辰安全专家,一起到业务审计系统上查看,试图发现一些蛛丝马迹。不看不知道,一看吓一跳,原来网站存在Struts2漏洞,被黑客利用,差一点就酿成严重后果。

  分析过程是这样的:

  用户提供初始线索:未知文件名为system.jsp;

  攻击过程定位和溯源

  天玥业务审计系统的日志详细记录了相关操作的源IP、账号、请求内容(URL、POST数据、Cookie等)、页面返回内容等信息,这给定位和取证工作提供了方便。在日志中查询URL、Cookie或Post数据字段包含system.jsp关键字的日志,如下:

  经过检索,定位操作源IP为:171.113.131.19,继续追查源IP为171.113.131.19的所有操作日志,发现此IP对网站首次访问的时间为:2014-11-10 15:05:22,其执行过的操作和网站的返回内容被审计系统完整记录了下来:

  攻击者通过访问URL:http://****/OSVisa/register/login.action,以Post方式进行webshell文件的上传,然后利用此文件进行了一系列的攻击操作。

  通过审计日志逐条分析可以看到:system.jsp是一个jsp木马文件(俗称webshell),攻击者上传此文件后,在2014-11-10 15:06:44,第一次用get方式调用这个webshell,审计日志中可以看到网站提示500错误(服务器执行webshell内部错误),页面返回内容中可以看到此木马调用了struts2的方法。后续攻击者又进行了文件下载等尝试。

  漏洞验证和补救

  手工登录访问:http://****/OSVisa/register/login.action,发现这是一个登录页面,没有任何文件上传的功能界面。初步分析,黑客应该利用某个漏洞上传了文件。结合上文审计日志获取的页面返回内容,可判断网站可能存在struts2漏洞。

  借助启明星辰struts2漏洞测试工具,安全专家成功验证用户网站存在struts2漏洞,漏洞官方编号为:2013 S2-019,此漏洞可以直接远程执行命令,上传文件等。

  至此,在天玥业务审计系统这个专业的"照妖镜"面前,本次基于Struts2漏洞的Webshell攻击过程原形毕露。运维人员也惊出一身冷汗,幸亏发现及时,没有造成太大的损失。根据业务审计日志提供的线索和依据,管理员立即修复此网站漏洞,清除了攻击者增加的账号、文件等内容,阻止了进一步的破坏。

  业务审计结合WAF–网站安全防范的有效手段

  随着电子商务、电子政务的发展,各企业、政府机构的对外服务网站访问量和重要性越来越高,在提升工作效率、方便大众的同时,也面临着越来越多的信息安全考验,因网站漏洞导致企业或者个人信息泄露,站点被攻击至无法服务的案例比比皆是。虽然入侵防护、防篡改等手段越来越多的被采纳,因攻击和防护的在时间上的不对称性,仍然无法保证网站的绝对安全。特别是针对网站的Webshell攻击,因其手段隐蔽,不会在系统日志中留下记录,管理员很难及时发现。如何有效预防此类攻击?当攻击事件发生后,如何清点战场、发现弱点和及时止损?上面这个案例有很好的参考价值。

  从该案例可以看到,做为信息安全领域的新兴产品,基于业务流量分析的业务审计系统,在异常分析、攻击取证、现场还原上,起到了至关重要的作用。不仅弥补了业务系统本身日志线索不足的缺点,其做为第三方产品的独立性也使得取证工作更加客观准确。

  除此之外,还要加强对web服务器的事前防护。推荐在网站入口在线部署Web应用防火墙(WAF),在平行位置旁路部署业务审计系统。一旦WAF发现攻击的蛛丝马迹,则可通过业务审计进行进一步的上下文分析,及时定位信息资产损失,发现更多的安全线索;反之,当分析业务审计日志,发现某账号或者IP存在异常行为(无攻击特征的异常操作),则可反馈给WAF,通过提高防护级别和增强防护策略来进行重点防御。业务审计与WAF的有机结合,形成针对网站安全的事前+事中+事后的全过程防护方案,可有效保障网站的安全稳定运行。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:2014欧美网络安全十大事件