案例概述
2017年7月7日Apache最新清静通告报出了CVE-2017-9791(S2-048)高危误差�。。�。�。。�。凭证获悉的误差信息�,,�,�,918博天堂泰合北斗团队迅速响应并定制了针对使用“struts2-048误差”举行攻击的关联剖析规则场景�,,�,�,实时对部分已安排泰合安管平台的用户的关联剖析规则举行更新�。。�。�。。�。
2017年10月14日22时�,,�,�,在某企业安管平台发明了“L3_ADS_Struts2_S2_048误差使用”告警事务�,,�,�,该告警由之前界说的“L3_ADS_Struts2_S2_048误差使用”关联规则触发�。。�。�。。�。北斗效劳职员依托泰合安管平台并连系威胁情报信息�,,�,�,迅速对攻击告警历程举行追溯和剖析�,,�,�,发明其WEB应用系统被攻击后植入GUIMINER恶意程序�。。�。�。。�。
泰合北斗团队剖析历程:
清静事务发明
2017年10月14日 22时�,,�,�,该企业用户收到清静治理平台爆发的
L3_ADS_Struts2_S2_048误差使用”告警�。。�。�。。�。
在运维职员的配合下�,,�,�,查实该企业WEB应用效劳器上确实被植入了挖矿程序并执行�。。�。�。。�。
安管平台事务剖析历程
泰合清静治理平台的焦点功效是网络用户营业情形中种种装备的清静日志�,,�,�,在收罗层对日志举行过滤、合并、范式化、补全等一系列ETL数据处置惩罚历程�,,�,�,对日志数据举行降噪�,,�,�,保存有用数据�;;;�;�;然后在平台剖析处置惩罚层举行自动化、智能化的关联剖析�,,�,�,发明真实的清静威胁�,,�,�,并协助运维职员对清静告警举行处置惩罚�。。�。�。。�。
清静日志的收罗
用户在网络情形中构建了纵深的清静防御系统�,,�,�,包括入侵防护系统(IPS)、抗拒绝效劳攻击、WEB应用防火墙(WAF)和状态检测防火墙�。。�。�。。�。泰合清静治理平台网络了用户网络情形中主要营业效劳器、焦点网络装备、所有清静装备和主要应用系统的清静相关的日志数据�。。�。�。。�。
清静日志ETL处置惩罚
泰合清静治理平台对吸收到的日志举行范式化剖析�,,�,�,对原始日志中的主要字段举行提取�,,�,�,对日志中缺氨赡要害信息举行了补全�。。�。�。。�。
对原始日志内容举行提�。。�。�。。�。憾栽既罩局械脑吹氐恪⒃炊丝凇⒛康牡氐恪⒛康亩丝凇⒛康墓ぞ摺⒉僮鳌⑿Ч⑾煊π畔⒕傩辛颂崛�。。�。�。。�。
对事务属性举行自动补全:凭证泰合北斗效劳职员对现场营业的相识�,,�,�,对日志中没有体现出来的信息举行了补全�,,�,�,如对事务分类、报送日志的装备地点、装备类型、装备厂商、装备型号、网络区域、网络位置等日志中缺失的信息在日志范化历程中举行自动补全�。。�。�。。�。
事务关联剖析
北斗效劳职员凭证S2-48的特征完善了之前针对Strusts2误差监控的规则 “L3_ADS_Struts2_S2_048误差使用”�,,�,�,关联规则剖析场景的可视化编辑界面�,,�,�,如图所示:
网络扫描检测规则
Struts2 S2-048检测规则
天生告警与追溯
收罗到的日志经由ETL处置惩罚后�,,�,�,将事务流转发至清静治理平台内存中举行实时剖析�,,�,�,当事务条件匹配关联规则�,,�,�,就会触发对应的告警�。。�。�。。�。
告警响应与处置惩罚
北斗效劳职员协助清静治理员确定告警的真实性�,,�,�,详细处置惩罚如下:
告警真实性确认
泰合北斗效劳职员通过以下历程协助清静治理员确认了告警的真实性�。。�。�。。�。
通过泰合安管平台威胁情报功效对攻击源IP地点举行追溯发明�,,�,�, 此IP地点的信誉种别为扫描类型�,,�,�,且该IP恒久对互联网举行恶意扫描(现在“泰合妄想”已与天涯友盟建设相助同伴关系�,,�,�,可以自动从天涯友盟获取恶意IP、URL、域名、Mail等情报信息�,,�,�,大大提升了清静事务剖析的精准度)�。。�。�。。�。
协助用户对攻击目的WEB应用效劳器举行检查�,,�,�,发明该系统使用了Struts2框架�,,�,�,版本为Struts2.3.15�,,�,�,保存Struts2-048误差�。。�。�。。�。同时检查发明该效劳器系统目录下已被植入guiminer挖矿程序�。。�。�。。�。
告警响应与处置惩罚
清静治理员通过告警功效天生工单�,,�,�,指派给对应的资产认真人举行处置惩罚�。。�。�。。�。完成派单后�,,�,�,系统会给工单处置惩罚人发送邮件和短信提醒�。。�。�。。�。
本案例中�,,�,�,针对平台爆发的“L3_ADS_Struts2_S2_048误差使用”告警�,,�,�,泰合北斗效劳职员给用户告警的处置惩罚计划如下:
● 在互联网界线防护装备上�,,�,�,启用防护战略�。。�。�。。�。对利于Struts2-048误差举行攻击的事务举行阻断�;;;�;�;
● 对受影响的系统举行误差修复�;;;�;�;
● 对受影响的系统举行周全的清静评估�;;;�;�;
(泉源:918博天堂)
京公网安备11010802024551号