案例概述
2017年11月27日�,�,,�,�,泰合北斗效劳职员在某政府单位安管平台发明了“L3_MC_WebShell下令执行”告警�,�,,�,�,告警显示黑客使用工具毗连已上传好的WebShell并乐成执行系统下令�,�,,�,�,北斗效劳职员依托泰合安管平台迅速对攻击告警历程举行追溯和剖析�,�,,�,�,发明其WEB效劳器已被植入了9个后门程序�。�。。�。�。�。
清静事务发明
2017年11月27日�,�,,�,�,该单位清静治理平台爆发的“L3_MC_WebShell下令执行”告警�。�。。�。�。�。
对告警内容举行判断历程中�,�,,�,�,发明攻击者已经毗连webshell并执行了远程下令“net user”�,�,,�,�,返回效果中列出了系统中的账户�。�。。�。�。�。
安管平台事务剖析历程
泰合清静治理平台的焦点功效是网络用户营业情形中种种装备的清静日志�,�,,�,�,在收罗层对日志举行过滤、合并、范式化、补全等一系列ETL数据处置惩罚历程�,�,,�,�,对日志数据举行降噪�,�,,�,�,保存有用数据;;�;�;然后在平台剖析处置惩罚层举行自动化、智能化的关联剖析�,�,,�,�,发明真实的清静威胁�,�,,�,�,并协助运维职员对清静告警举行处置惩罚�。�。。�。�。�。
1)清静日志的收罗
用户在网络情形中构建安排了清静产品�,�,,�,�,包括入侵防护系统(IPS)、WEB应用防火墙(WAF)、防火墙等�,�,,�,�,泰合清静治理平台网络了用户网络情形中清静装备相关的日志数据�。�。。�。�。�。
2)清静日志ETL处置惩罚
泰合清静治理平台对吸收到的日志举行范式化剖析�,�,,�,�,对原始日志中的主要字段举行提取�,�,,�,�,对日志中缺氨赡要害信息举行了补全�。�。。�。�。�。
◆ 对原始日志内容举行提�。�。。�。�。�。憾栽既罩局械脑吹氐恪⒃炊丝凇⒛康牡氐恪⒛康亩丝凇⒛康墓ぞ摺⒉僮鳌⑿Ч⑾煊π畔⒕傩辛颂崛�。�。。�。�。�。
◆ 对事务属性举行自动补全:对日志中没有体现出来的信息举行了补全�,�,,�,�,如对事务分类、报送日志的装备地点、装备类型、装备厂商、装备型号、网络区域、网络位置等日志中缺失的信息在日志范化历程中举行自动补全�。�。。�。�。�。
3)事务关联剖析
北斗效劳职员凭证WEB攻击的特征定制了规则“L3_MC_WebShell下令执行”�,�,,�,�,WebShell毗连时使用HTTP协议�,�,,�,�,请求失败时通常返回404状态码�,�,,�,�,请求乐成时通常返回200状态码�,�,,�,�,以是HTTP协议的状态码就成了判断告警是否为有用告警的依据�,�,,�,�,在此案例中将200状态码作为规则的条件之一�,�,,�,�,目的系统为web效劳器�,�,,�,�,关联规则剖析场景的可视化编辑界面如图所示:
触发告警的事务:
针对事务中攻击者会见的xx.php文件�,�,,�,�,在WEB效劳器系统上举行外地检查找到该shell剧本�,�,,�,�,确以为WebShell文件�。�。。�。�。�。审查文件内容信息如下:
4)天生告警与追溯
使用目今告警的源地点和目的地点划分睁开视察�,�,,�,�,盘问一个月之内的所有相关事务�,�,,�,�,经由统计发明该系统已经保存9个webshell文件�,�,,�,�,会见次数图如下:
告警响应与处置惩罚
北斗效劳职员协助清静治理员举行告警处置惩罚�,�,,�,�,由于正值主要清静包管时代�,�,,�,�,接纳紧迫步伐�,�,,�,�,将系统实时举行离线�。�。。�。�。�。
本案例中�,�,,�,�,针对平台爆发的“L3_MC_WebShell下令执行”告警�,�,,�,�,泰合北斗效劳职员给用户告警的处置惩罚计划如下:
1)删除webshell相关文件;;�;�;
2)对受影响的系统举行周全的清静评估�,�,,�,�,查找入侵成因�,�,,�,�,修补响应的清静问题;;�;�;
3)在互联网界线防护装备上�,�,,�,�,启用防护战略�,�,,�,�,对使用WebShell攻击的事务举行阻断�。�。。�。�。�。
(泉源:918博天堂)
京公网安备11010802024551号