最近,我們遇到了一個(gè)對(duì)于企業(yè)來(lái)說(shuō)非常典型的攻擊場(chǎng)景,一名擁有管理員權(quán)限的開發(fā)者在啟動(dòng)云原生應(yīng)用時(shí),錯(cuò)誤地用了一個(gè)較弱的憑證來(lái)進(jìn)行配置。僅12個(gè)小時(shí)之后,該環(huán)境就受到了DreamBus 僵尸網(wǎng)絡(luò)的攻擊,它試圖躲避防御系統(tǒng),并開始攻擊系統(tǒng),運(yùn)行Kinsing惡意軟件和加密貨幣挖礦代碼(門羅)。在這時(shí),Aqua的云原生監(jiān)測(cè)及響應(yīng)功能(CNDR)及時(shí)的發(fā)出了攻擊警報(bào)。本文將介紹受攻擊環(huán)境的基本情況,黑客如何獲得訪問權(quán),以及Aqua的 CNDR 如何以與云化應(yīng)用相匹配的速度進(jìn)行檢測(cè)、調(diào)查,和抵御攻擊。
搭建環(huán)境
首先,開發(fā)者搭建了一個(gè)的簡(jiǎn)單的容器環(huán)境,由四個(gè)專屬容器鏡像組成:
- Web UI: 允許用戶由此登錄并交互處理應(yīng)用程序
- 網(wǎng)關(guān):可作為應(yīng)用程序的網(wǎng)關(guān)
- 微服務(wù):可支持應(yīng)用程序
- 數(shù)據(jù)庫(kù): 一個(gè)PostgreSQL 數(shù)據(jù)庫(kù)
為了更好的理解攻擊發(fā)生的方式和原因,我們首先復(fù)現(xiàn)開發(fā)者在運(yùn)行容器之前所進(jìn)行的動(dòng)作。
掃描容器鏡像
首先,開發(fā)者合理運(yùn)用了Aqua的解決方案掃描了容器鏡像。從下面的截圖您可以看到,容器鏡像微服務(wù)和web UI存在著低至中等程度的漏洞。由于它們的影響可以忽略不計(jì),開發(fā)者沒有理會(huì)這些漏洞,因此它們通過了該公司的安全合規(guī)政策評(píng)估。其他兩個(gè)容器鏡像看上去也似乎一切正常。
接下來(lái),開發(fā)者利用Aqua的動(dòng)態(tài)威脅分析(Dynamic Threat Analysis, DTA)掃描了容器鏡像。DTA的作用是在安全的隔離環(huán)境(即沙盒)中運(yùn)行容器鏡像,以便在容器開始運(yùn)行后更好地了解其情況。因?yàn)殪o態(tài)掃描軟件會(huì)基于數(shù)字簽名和哈希算法來(lái)探測(cè)已知漏洞和惡意文件,而DTA能檢測(cè)出在運(yùn)行時(shí)才會(huì)顯現(xiàn)的惡意行為,而一般的靜態(tài)檢測(cè)方法則沒有辦法檢測(cè)出這種行為。
舉例來(lái)說(shuō),即使一個(gè)容器鏡像看上去是安全的,但這時(shí)一條命令要求從遠(yuǎn)程C2服務(wù)器里獲得并執(zhí)行有效負(fù)載(通常是通過Entrypoint),在這種情況下,靜態(tài)掃描軟件是不會(huì)監(jiān)測(cè)該異常的。同樣,對(duì)于采用無(wú)文件攻擊的手法以及打包一些轉(zhuǎn)碼文件文件也可以達(dá)到逃避靜態(tài)檢測(cè)的效果。相較于靜態(tài)掃描軟件,DTA還有一個(gè)優(yōu)勢(shì),它可以檢測(cè)出惡意的網(wǎng)絡(luò)流量。因此,DTA能夠在給定的容器鏡像上提供更全面的威脅檢測(cè)輸出。在這個(gè)案例中,DTA沒有檢測(cè)出任何問題——容器鏡像中沒有惡意軟件。
運(yùn)行工作負(fù)載
開發(fā)人員部署了 Aqua 的工作負(fù)載保護(hù)和 CNDR,但禁用了drift prevention的功能,如果該功能開啟,在鏡像實(shí)例化成為容器后,這一功能會(huì)嚴(yán)格禁止對(duì)鏡像進(jìn)行任何修改。 而且,該開發(fā)人員在設(shè)定相關(guān)外部防火墻策略時(shí),將數(shù)據(jù)庫(kù)容器開放允許用戶從任何 IP 地址 (0.0.0.0:5432)進(jìn)行訪問,并沒有創(chuàng)建任何微分段策略(Micro-segmentation policies)來(lái)限制對(duì)容器或數(shù)據(jù)庫(kù)的訪問。 除此之外,開發(fā)人員還給PostgreSQL 數(shù)據(jù)庫(kù)配置了弱密碼(Weak credentials)。
利用CNDR監(jiān)測(cè)攻擊
首次警報(bào)
Aqua的 CNDR是最近推出的云原生監(jiān)測(cè)和響應(yīng)功能,它利用基于內(nèi)核觀察形成的告警信號(hào),實(shí)時(shí)檢測(cè)并阻止未知攻擊。
在環(huán)境創(chuàng)建之后的12個(gè)小時(shí)之內(nèi),CNDR警告其中一個(gè)容器出現(xiàn)了嚴(yán)重的安全問題。開發(fā)者即刻停止了這個(gè)容器的運(yùn)行,并開始調(diào)查問題的成因。
CNDR一共發(fā)出25條報(bào)警,提示容器和底層主機(jī)出現(xiàn)了不同的問題。通過CNDR的控制面板,事件和響應(yīng)團(tuán)隊(duì)能夠輕松地獲知相應(yīng)的信息、各個(gè)事件和相關(guān)背景、來(lái)源(例如主機(jī)或容器)、相關(guān)描述及嚴(yán)重性,從而節(jié)約了大量時(shí)間。
點(diǎn)擊“查看完整事件數(shù)據(jù)”(View Full Event Data),可獲取有關(guān)每個(gè)事件的詳細(xì)信息。在本案例中,黑客在容器中執(zhí)行了來(lái)自/tmp的Kinsing惡意軟件。
進(jìn)一步收集證據(jù)
可以通過CNDR的審核篩選來(lái)進(jìn)一步收集證據(jù)。CNDR監(jiān)測(cè)到,有人使用了wget和curl從遠(yuǎn)程源下載文件。這就說(shuō)明在運(yùn)行期間,容器下載了應(yīng)用curl,黑客因此能夠從遠(yuǎn)程源下載更多的文件。
CNDR的審計(jì)日志記錄了約7000個(gè)事件,完整地重現(xiàn)了攻擊時(shí)的情形。記錄中包括檢測(cè)可疑和惡意行為,以及阻斷網(wǎng)絡(luò)通信等,例如:
- 監(jiān)測(cè)到Wget/Curl 程序
- 監(jiān)測(cè)到加密挖礦
- 通過/tmp執(zhí)行 二進(jìn)制
- 禁用安全工具
- 復(fù)制遠(yuǎn)程文件
我們?cè)趯徲?jì)日志中發(fā)現(xiàn)了Kinsing惡意軟件(MD5 648effa354b3cbaad87b45f48d59c616)和kdevtmpfsi (MD5 8c6681daba966addd295ad89bf5146af) 。有人將它們從遠(yuǎn)程源中下載到了/tmp 庫(kù)。如下面的截圖所示,它們的所有者都是“postgres”群組中的用戶“postgres”。
審計(jì)日志進(jìn)一步顯示了代碼執(zhí)行情況,如下:
此外,容器中還發(fā)現(xiàn)了幾個(gè)惡意文件:
- k (MD5 d79229c6c7fcbc4802934e34f80661a8), 打包挖礦病毒
- c (MD5 080a3bccdddc6979e3f1e74f732603b0), 打包挖礦病毒
- ss (MD5 a0db00b585a994be2cff9bb4a62ca385), 盡管 VirusTotal未檢測(cè)到,仍是挖礦病毒
獲得初始訪問權(quán)
盡管通過分析PostgreSQL日志可以知道為了獲取初始訪問權(quán)而出現(xiàn)的違規(guī)操作,但是這些日志連同其他日志一起都丟失了。刪除系統(tǒng)日志正是Kingsing黑客的慣用伎倆之一。
通過CNDR的事件屏幕中的一個(gè)警報(bào)能夠推斷出,黑客通過刪除系統(tǒng)日志破壞了系統(tǒng)的完整性。這就解釋了日志文件丟失的原因。這也不禁讓人懷疑,黑客是否轉(zhuǎn)儲(chǔ)了數(shù)據(jù)庫(kù)的內(nèi)容,并將其泄露到外部環(huán)境。
從Postgres 9.3版開始, 數(shù)據(jù)庫(kù)的超級(jí)用戶和‘pg_execute_server_program’群組中的用戶就能利用‘COPY TO/FROM PROGRAM’功能運(yùn)行任意的OS指令。該功能可能會(huì)在身份驗(yàn)證后被攻擊,或在后臺(tái)運(yùn)行PostgreSQL時(shí)通過SQL注入攻擊。值得注意的是,供應(yīng)商卻并不認(rèn)為這個(gè)功能是一個(gè)漏洞。
重要經(jīng)驗(yàn):深度防御非常關(guān)鍵
從這次攻擊中,我們可以看到深度防御戰(zhàn)略發(fā)揮了明顯的作用。在該環(huán)境中部署的,包括工作負(fù)載保護(hù)和安全掃描在內(nèi)的保護(hù)初始層,都無(wú)法預(yù)防或監(jiān)測(cè)到攻擊的發(fā)生。
如果不是CNDR的告警提示,黑客就已經(jīng)成功完成了攻擊,神不知鬼不覺地挖礦加密貨幣,并可能造成更大的破壞。然而,CNDR實(shí)時(shí)監(jiān)測(cè)到了攻擊,不僅針對(duì)惡意活動(dòng)發(fā)出了警報(bào),還提供了額外的日志,以協(xié)助進(jìn)一步調(diào)查。
類似的攻擊表明,深度防御的方法是有價(jià)值的——它構(gòu)建了多重的安全功能,部署了豐富的防御能力,可以瓦解多種攻擊向量(attack vectors)。如果一個(gè)安全管控失效了,還有其它的安全層可以預(yù)防或阻止攻擊。
遷移推薦:Aqua的運(yùn)行時(shí)深度防御戰(zhàn)略
Aqua的運(yùn)行時(shí)保護(hù)方法部署了一系列的安全機(jī)制,在您的云原生環(huán)境中建立了一層又一層的管控功能,以保護(hù)網(wǎng)絡(luò)、工作負(fù)載和數(shù)據(jù)的保密性、完整性和可用性。
高級(jí)惡意軟件和行為保護(hù)
Aqua高級(jí)防惡意軟件保護(hù)功能能持續(xù)對(duì)環(huán)境進(jìn)行掃描,根據(jù)數(shù)字簽名和哈希算法監(jiān)測(cè)已知威脅和惡意軟件。在本次攻擊中,Aqua的防惡意軟件保護(hù)功能監(jiān)測(cè)到了惡意腳本(.systemd-service.sh)、Kinsing惡意軟件、Kdevtmpfsi加密貨幣挖礦代碼和其它的惡意內(nèi)容。
為了檢測(cè)未知的威脅,Aqua基于行為的保護(hù)功能可以發(fā)現(xiàn)可疑和惡意的行為,包括無(wú)文件的惡意軟件執(zhí)行、防御規(guī)避技術(shù)、可疑的網(wǎng)絡(luò)通信和木馬。在本案例中,CNDR發(fā)現(xiàn)了若干個(gè)可疑的實(shí)例和惡意活動(dòng),包括刪除日志和下載并執(zhí)行二進(jìn)制。
我們強(qiáng)烈推薦您使用工具來(lái)確保密碼的高強(qiáng)度并與生產(chǎn)兼容。比如,Avishai Wool 和Liron David的項(xiàng)目可以預(yù)估密碼長(zhǎng)度,即通過預(yù)測(cè)密碼破解軟件需要嘗試多少次才能破解密碼,從而幫助用戶避免選擇那些保密性弱的密碼。
調(diào)查期間,我們利用Aqua的解決方案掃描了我們的容器鏡像:靜態(tài)掃描軟件和DTA。本案例中被攻擊的漏洞存在爭(zhēng)議,因而被忽視了。為此,我們強(qiáng)烈建議在生產(chǎn)環(huán)境中部署CNDR等監(jiān)測(cè)及響應(yīng)解決方案,它們不僅能夠在運(yùn)行時(shí)發(fā)現(xiàn)惡意行為,還有助于監(jiān)測(cè)并預(yù)防生產(chǎn)環(huán)境中出現(xiàn)零日攻擊(Zero-day attacks)。
Aqua的云工作負(fù)載保護(hù)平臺(tái)能力
Aqua的云工作負(fù)載保護(hù)平臺(tái)能力包含了一套強(qiáng)大的運(yùn)行時(shí)控制(Runtime controls)能力,適用于虛擬機(jī)、容器和無(wú)服務(wù)器架構(gòu)負(fù)載保護(hù)。它們充當(dāng)深度防御層,在運(yùn)行前就加固工作負(fù)載,之后實(shí)時(shí)抵御生產(chǎn)環(huán)境中正在進(jìn)行的攻擊。而另外一些事前控制策略例如鏡像合規(guī)策略等負(fù)責(zé)檢測(cè)工作負(fù)載是否符合規(guī)范運(yùn)行要求,決定哪些可以運(yùn)行以及哪些不能。
微分段策略決定了節(jié)點(diǎn)、集群和主機(jī)之間可接受的流量 ,而Kubernetes保證策略則要求必須存在(或不存在)Kubernetes配置才能允許工作負(fù)載運(yùn)行。最終用戶可以完全控制工作負(fù)載保護(hù)功能,也可以為了保護(hù)運(yùn)行環(huán)境而提前配置。
我們強(qiáng)烈建議您不要暴露一些私有服務(wù)到Internet環(huán)境,例如,PostgreSQL數(shù)據(jù)庫(kù)。不過,當(dāng)數(shù)據(jù)需要公開訪問時(shí),也會(huì)存在合法的用例。如果是這種情況,可以考慮使用網(wǎng)絡(luò)防火墻并限制對(duì)數(shù)據(jù)庫(kù)的訪問。與其允許任何人都可以獲得進(jìn)站流量,不如將流量限制到特定的IP或容器。
Drift prevention
為了在運(yùn)行時(shí)保持容器間的不變性,在鏡像被實(shí)例化成為容器后,Drift prevention功能將嚴(yán)格禁止對(duì)鏡像的修改。這一功能利用了容器屬性的不可變性,在運(yùn)行中的容器中識(shí)別并阻止異常行為。
關(guān)于Aqua Security
Aqua Security是全球最大的云原生安全廠商之一,總部位于以色列特拉維夫,為客戶的創(chuàng)新以及加速數(shù)字化轉(zhuǎn)型保駕護(hù)航。Aqua平臺(tái)在整個(gè)應(yīng)用生命周期管理中提供預(yù)防、檢測(cè)和響應(yīng)自動(dòng)化服務(wù),以確保供應(yīng)鏈、云基礎(chǔ)架構(gòu)平臺(tái)和運(yùn)行時(shí)工作負(fù)載的安全運(yùn)行。Aqua的客戶是全球金融服務(wù)、軟件、媒體、制造和零售領(lǐng)域最大的企業(yè)之一,能夠在廣泛的云提供商和現(xiàn)代技術(shù)堆棧中實(shí)施,其中包括容器、無(wú)服務(wù)器功能和云虛擬機(jī)。如需了解更多信息,歡迎關(guān)注官方微信公眾號(hào)“AquaSecurity”。
