iaas云服務(wù)器的網(wǎng)絡(luò)安全與防護研究

iaas云服務(wù)器的網(wǎng)絡(luò)安全與防護研究

0云服務(wù)器信息化平臺云服務(wù)器是由isas服務(wù)提供商根據(jù)虛擬化技術(shù)將其虛擬化，然后展示的云服務(wù)器（也稱為虛擬機）。它具有簡單高效、易受攻擊性和靈活性。云服務(wù)器采用通用的操作系統(tǒng)(Windows、Linux)、數(shù)據(jù)庫等系統(tǒng)軟件,運行用戶業(yè)務(wù)應(yīng)用軟件。在服務(wù)器方面存在的安全風險問題與傳統(tǒng)安全風險是一樣的。在IaaS環(huán)境下,云服務(wù)器的操作系統(tǒng)、運行環(huán)境以及應(yīng)用軟件的安全性由云服務(wù)器的用戶自行負責(參見國標GB/T31168-2014)在互聯(lián)網(wǎng)中,服務(wù)器存儲著大量有價值的信息資源,黑客懷著非法控制、竊取數(shù)據(jù)、駐留后門等目的,入侵互聯(lián)網(wǎng)服務(wù)器系統(tǒng)。在傳統(tǒng)業(yè)務(wù)向云計算遷移后,云服務(wù)器自然也成了黑客攻擊的首要目標。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的2015年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告面對利益驅(qū)動的黑客針對云服務(wù)器的攻擊,可按照P2DR(策略-防護-監(jiān)測-響應(yīng))安全模型1云服務(wù)器攻擊interpersonal為了研究云服務(wù)器被黑客入侵的痕跡,首先必須了解黑客入侵的過程,黑客針對云服務(wù)器的攻擊由多個階段組成。美國軍工巨頭洛克希德·馬丁(LockheedMartin)公司提出了一個叫“CyberKillChain”(CKC,網(wǎng)絡(luò)攻擊鏈)失陷云服務(wù)器指被攻擊者成功入侵的云服務(wù)器,在主機安全這個層次上,失陷云服務(wù)器與傳統(tǒng)服務(wù)器并無本質(zhì)區(qū)別,本文的結(jié)論也適合于傳統(tǒng)服務(wù)器。網(wǎng)絡(luò)攻擊鏈模型的7個階段如下:(1)目標探測(Reconnaissance)。攻擊者明確攻擊對象后,通常會從3方面對攻擊目標進行探測:①從社會工程學(xué)等角度收集被攻擊對象的人員信息、防御措施;②從互聯(lián)網(wǎng)域名注冊、搜索引擎、端口掃描等角度收集被入侵對象(IP)的信息;③從開放端口和服務(wù)進一步發(fā)現(xiàn)可攻擊的弱點,如Web應(yīng)用漏洞、系統(tǒng)漏洞等。(2)準備武器(Weaponization)?；趯裟繕说奶綔y結(jié)果,利用已知漏洞或編寫針對目標現(xiàn)有漏洞的惡意代碼,并進行繞過防御措施的測試,保障攻擊代碼能夠?qū)⒍拒浖鈿⒒蚶@過其它防護手段。云服務(wù)器(或傳統(tǒng)服務(wù)器)的漏洞主要分為3個層次:應(yīng)用軟件漏洞(Web應(yīng)用)、運行環(huán)境漏洞(Apache、IIS、PHP等)以及系統(tǒng)級漏洞(Windows、Linux)。(3)投放武器(Delivery)。攻擊者攻擊云服務(wù)器可能采用正面利用漏洞進行攻擊,正面攻擊無效可能采用從維護人員入手等手段進行側(cè)面攻擊。維護人員的攻擊可以通過釣魚郵件、釣魚網(wǎng)頁以及USB感染的方式發(fā)起魚叉式攻擊,導(dǎo)致維護人員電腦植入事前準備好的惡意代碼,進一步感染云服務(wù)器。(4)漏洞利用(Exploit)。惡意代碼成功植入云服務(wù)器,獲得初步權(quán)限,進一步利用系統(tǒng)其它漏洞(如嗅探、口令破解、第三方軟件、數(shù)據(jù)庫系統(tǒng)漏洞等)提升自身權(quán)限,最終獲得管理員控制權(quán)。(5)安裝后門(Installation)。獲得系統(tǒng)高級權(quán)限后,黑客通常會進一步上傳各類工具,修改系統(tǒng)賬號、放置后門木馬來達到其入侵和控制的目標。(6)命令控制(Command&Control)。惡意軟件在云服務(wù)器啟動后,將與攻擊者在遠端部署的命令與控制(C&C)服務(wù)器主動建立連接,接收來自C&C服務(wù)器發(fā)送的控制命令。(7)執(zhí)行行動(Actions)。攻擊者通過C&C服務(wù)器控制云服務(wù)器發(fā)起進一步的惡意行為,如DDoS攻擊或入侵新的目標,竊取有價值的數(shù)據(jù)或外傳已獲取的數(shù)據(jù)等。攻陷云服務(wù)器的手段多種多樣,而攻陷之后造成的影響往往發(fā)生在網(wǎng)頁篡改、被云運營商封殺甚至被監(jiān)管部門通報才能夠發(fā)現(xiàn)自己的云服務(wù)器已經(jīng)失陷。從失陷到發(fā)現(xiàn)的時間周期可能是幾天、幾月甚至更長時間。如何在云服務(wù)器失陷后最短時間內(nèi)及時發(fā)現(xiàn),便于云服務(wù)器管理者迅速采取隔離、恢復(fù)等響應(yīng)措施,將黑客攻擊的損失降到最低。本文將對云服務(wù)器入侵痕跡進行分析,并給出自動化監(jiān)控的解決方案。2云服務(wù)器攻擊過程痕跡云服務(wù)器的安全性依賴于兩個方面:一是云計算服務(wù)提供商的安全基礎(chǔ)設(shè)施,例如防火墻、入侵防御等軟硬件設(shè)備;二是依賴于云服務(wù)器管理員采取的安全防護措施。云服務(wù)器的安全防護很難做到像傳統(tǒng)物理機那樣安裝很耗資源的殺毒軟件、軟件防火墻等,這些安全防護軟件可能會消耗數(shù)十上百兆的內(nèi)存以及部分CPU資源,傳統(tǒng)物理機的計算資源通常是過剩的,而云服務(wù)器的計算資源是按需申請的,如何盡量減少大型殺毒軟件和安全防護軟件的開銷,而又能夠快速發(fā)現(xiàn)服務(wù)器安全狀態(tài),是云服務(wù)器安全值得研究的一個課題。本文研究的目標是黑客入侵系統(tǒng)后留下的痕跡,以快速發(fā)現(xiàn)服務(wù)器被入侵的事實。從入侵過程可以看出,黑客在入侵過程中,從漏洞利用、權(quán)限提升、控制系統(tǒng)等環(huán)節(jié)均有可能留下入侵痕跡。從表1可以看出,云服務(wù)器遭受到入侵,一定會在主機系統(tǒng)中留下痕跡。本文從系統(tǒng)層面、網(wǎng)絡(luò)層面、應(yīng)用層面以及日志層面等4個維度來分析黑客入侵痕跡。2.1檢測系統(tǒng)操作系統(tǒng)層面主要包括系統(tǒng)啟動項、賬號口令、異常進程、異常服務(wù)這4個方面。(1)賬號口令。黑客控制服務(wù)器后,為了后期能夠長期控制服務(wù)器,往往會創(chuàng)建系統(tǒng)賬號,而新創(chuàng)賬號往往是管理員組的。重點要檢查在管理員組的賬號是否可疑,包括Windows的管理員組和Linux系統(tǒng)的root權(quán)限賬號。Windows系統(tǒng)還應(yīng)該警惕隱藏賬號和克隆賬號,這需要通過管理工具或注冊表來進一步發(fā)現(xiàn)。(2)系統(tǒng)啟動項。黑客入侵要駐留后門,最簡單的辦法就是通過將后門放在系統(tǒng)開機啟動項和系統(tǒng)任務(wù)計劃兩種方式進行加載和激活。在Windows系統(tǒng)或Linux系統(tǒng)中查找異常啟動項,通常能夠快速發(fā)現(xiàn)入侵痕跡。部分系統(tǒng)木馬已經(jīng)不再采用這種明顯的啟動方式,而采用線程注入和系統(tǒng)驅(qū)動加載等方式,這需要PCHunter等更加專業(yè)的工具。(3)異常進程。通過查看進程來識別可疑程序是否在服務(wù)器中運行。很多高級后門(有時稱為Rootkit)以系統(tǒng)驅(qū)動形式、內(nèi)核鉤子以及應(yīng)用鉤子掛載形式存在,運行之后并沒有進程。這類木馬檢查需要借助一些專業(yè)工具,比如PCHunter等。(4)異常服務(wù)。后門木馬有可能以后臺駐留服務(wù)的形式運行,具有一定的隱蔽性。2.2系統(tǒng)命令查找網(wǎng)絡(luò)層面入侵痕跡的目的是發(fā)現(xiàn)已經(jīng)在運行并且與互聯(lián)網(wǎng)通信的行為。后門木馬要跟攻擊者建立聯(lián)系,必定要跟外網(wǎng)發(fā)起連接,建立C&C通信(命令與控制)或上傳盜取的數(shù)據(jù),甚至作為僵尸主機發(fā)起對其它受害者的攻擊。通過系統(tǒng)命令或工具可以查看網(wǎng)絡(luò)連接是否正常,網(wǎng)絡(luò)連接狀態(tài)包括LISTENING(監(jiān)聽)、ESTABLISHED(建立)、TIME_WAIT(等待)等狀態(tài)。一般而言,服務(wù)器不會主動發(fā)起對互聯(lián)網(wǎng)的連接,如果發(fā)現(xiàn)服務(wù)器主動訪問互聯(lián)網(wǎng)的80、21等端口,那么一定要進一步檢查發(fā)起連接的進程是否可疑,連接的目標域名或IP是否可疑。2.3webshell簡介服務(wù)器被黑客入侵,若黑客沒有獲得服務(wù)器控制權(quán),則很難查到黑客入侵痕跡,但并不代表服務(wù)器沒有被黑客入侵。當前黑客通常從Web應(yīng)用作為入口,通過上傳Webshell(Web腳本木馬)來達到控制服務(wù)器的目的。Webshell是一種網(wǎng)頁腳本程序,可以用任何網(wǎng)頁腳本語言來編寫,包括PHP、ASP、JSP、.NET、JS。有些Webshell還可以隱藏在圖片(.jpg)文件中。在做Web服務(wù)器入侵痕跡檢查時,要從網(wǎng)站的根目錄開始查找可疑的Webshell,以及一些可疑的.bak、.zip、.jpg、.cer等文件。2.4對固定程序志的分析理論上講,只要服務(wù)器進行了合理的日志管理配置,絕大部分的入侵痕跡都能夠在日志中找到蛛絲馬跡。但由于日志分析的專業(yè)性較高,而且工作量很大,因此,在做服務(wù)器入侵分析時,以上分析都沒有發(fā)現(xiàn)可疑的地方,再進入日志分析,就可提高效率。日志分為系統(tǒng)日志、應(yīng)用日志和數(shù)據(jù)庫日志幾大類。簡單的日志分析方法為人工查看,如果日志量巨大,必須借助專業(yè)的日志分析工具來分析黑客入侵痕跡。3云服務(wù)器的管理云服務(wù)器入侵痕跡檢查在服務(wù)器安全運維過程中是非常關(guān)鍵的環(huán)節(jié),如果管理員同時要管理數(shù)十上百臺的云服務(wù)器,對所有云服務(wù)器開展人工檢查,其工作量是非常龐大的。設(shè)計一個軟件對云服務(wù)器進行自動化安全檢查,顯得尤為必要。3.1云服務(wù)器漏洞的安全監(jiān)控需求3.1.1監(jiān)控價值的折收對于黑客入侵痕跡,如果產(chǎn)生大量誤報甚至漏報,對真正的入侵痕跡難以發(fā)現(xiàn),那么監(jiān)控的價值便大大折扣。為了提高入侵痕跡檢測的準確性,除了采用傳統(tǒng)基于特征的檢測技術(shù)以外,還需要引入基于基線的學(xué)習與分析技術(shù),對于可疑的后門或木馬引入沙盤虛擬執(zhí)行技術(shù)來提升對異常特征的發(fā)現(xiàn)準確率。3.1.2系統(tǒng)內(nèi)核的不足市場上已經(jīng)有類似的主機安全防護類產(chǎn)品(例如360衛(wèi)士),兼顧監(jiān)控、防護于一身,功能全面,僅安裝包就有數(shù)十兆,運行時嵌入到系統(tǒng)內(nèi)核,占用資源大。而云服務(wù)器安全監(jiān)控以監(jiān)控為目的,只需要定期采集數(shù)據(jù),并不需要調(diào)用系統(tǒng)內(nèi)核API或進行復(fù)雜的數(shù)據(jù)分析。因此,可以做到占用很小的系統(tǒng)資源甚至在閑時不占用任何資源,這對于對資源敏感的云服務(wù)器是一種比較好的選擇。3.1.3中央監(jiān)控和警告管理員面對數(shù)十甚至上百臺云服務(wù)器時,對云服務(wù)器的安全狀態(tài)能夠集中監(jiān)控,對偏離基線的事件能夠及時發(fā)現(xiàn)甚至告警。3.2服務(wù)器入侵監(jiān)控系統(tǒng)各層主要功能失陷主機入侵監(jiān)控系統(tǒng)首先要能夠?qū)υ品?wù)器系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和日志信息的關(guān)鍵信息進行采集和處理,然后進行特征分析并能夠給運維管理人員加以展示。云服務(wù)器入侵監(jiān)控系統(tǒng)各層主要功能簡要描述如下:①數(shù)據(jù)采集層:采用輕量級客戶端對主機信息進行采集,并將存在變更的信息上傳到數(shù)據(jù)處理層;②數(shù)據(jù)處理層:數(shù)據(jù)處理層主要對上傳的配置文件以及樣本進行分類存儲和索引,并將不同類別的數(shù)據(jù)提交給數(shù)據(jù)分析層處理;③數(shù)據(jù)分析層:對文本類別、可執(zhí)行程序或Webshell等按照不同的策略進行分析,并形成分析結(jié)果;④展示層與告警