啟明星辰：首例 RedisDDOS 樣本捕獲背后的故事

2015年11月16日，國內安全研究團隊啟明星辰積極防御實驗室成功捕獲了國內首例利用Redis漏洞實現的DDOS僵尸網絡控制樣本。自Redis漏洞被公布以來，網絡空間出現了大量利用該漏洞的攻擊事件，但利用該漏洞快速部署僵尸程序，并通過僵尸網絡實施高強度的分布式拒絕服務攻擊還是首例。

深厚的攻防技術積累與全新的檢測產品-XDS有效協同是本次樣本被捕獲的關鍵。

我們在某企業客戶IT系統現場捕獲了該僵尸程序樣本，并幫助該用戶成功清除了該僵尸程序,這得益于該用戶部署了XDS產品。在XDS產品上線之時，啟明星辰安全運維專家協助用戶，結合該用戶IT環境特征與應用系統的邏輯特征制定了相應的應用異常檢測規則，其中：WEB服務器業務流白名單是本次樣本捕獲的關鍵規則集。該WEB服務器對互聯網提供某種數據服務，后臺具有數據庫服務器，企業內部有嚴格的運維規范，因此制定的業務流白名單規則包含了如下部分關鍵邏輯：

1）該WEB服務器僅能夠被互聯網終端通過80端口訪問

2）新建連接必須從登陸頁面開始訪問

3）WEB服務器可以主動訪問內部特定終端，禁止主動訪問互聯網

4）內部運維接口固定IP地址

5）對數據庫的訪問僅能通過該應用系統的標準數據庫訪問JDBC接口進行數據庫訪問。

任何違背以上規則的流量將觸發告警，同時XDS產品會連續抓取5分鐘的流量數據供安全運維人員分析。

2015年11月15日，該用戶發現XDS產品報告了一條WEB服務器對互聯網的一次主動訪問事件，請求啟明星辰安全運維專家協同分析該事件。現場，我們提取了XDS產品留存的5分鐘流量信息并進行分析，即刻發現了明顯的被控制特征--WEB服務器短時間內向特定IP發送了大量的隨機報文，隨后安全專家追溯了XDS產品的歷史事件，還原了完整的攻擊鏈條，并在WEB服務器某目錄下找到了僵尸程序，完成了樣本的提取與清除。攻擊鏈條如下：

2015年11月15早晨，黑客利用Redis未授權漏洞，通過6379端口成功入侵了該用戶的WEB服務器并植入SSH公鑰。該行為觸發了上述第一條XDS規則，并發生了告警。

隨后，黑客通過SSH向WEB服務器傳遞了僵尸程序，同樣該行為觸發了上述第一條XDS規則并產生告警。可惜前兩條告警發生時，用戶并未關注安全狀況，錯失了防御的第一時間點。

最后黑客顯然為了進行僵尸網絡的功能測試，隨機發起了一次小規模拒絕服務攻擊，此行為觸發了上述XDS第三條規則。幸運的是，此時用戶注意到了本次報警并開始處理該事件，防止了WEB服務器永久的成為僵尸網絡的一部分。

當前黑客的組織性比以往更強，對0DAY，NDAY漏洞的利用效率極高，通常0DAY、NDAY漏洞一旦被黑客圈掌握，在極短的時間內就會形成有效攻擊，這導致了傳統的入侵檢測方法在漏洞剛剛被發現的一段時間內是失效的。啟明星辰新推出的XDS產品基于開放式檢測架構，可以快速部署與用戶應用結合的安全檢測規則，實現以不變應萬變。該僵尸程序樣本被捕獲的當日，啟明星辰升級了XDS產品的攻擊特征庫，可以實現對該樣本的精確檢測。