“肉雞”不是吃的那種,是中了木馬,或者留了後門,可以被遠程操控的機器。個人電腦被變成“肉雞”後,黑產就可以隨意遠程控制並竊取賬戶資料獲取利益,或者利用你的設備肆虐傳播木馬。特別是在近期數字貨幣暴力驅使下,許多遊離在灰色市場的攻擊者肆無忌憚的攻擊安全性脆弱的設備,把它們變成自己的“肉雞”。
但試想如果是企業電腦受到攻擊變成“肉雞”,企業的核心數字財產、商業數據、機密情報都將面臨洩露危險,同時黑產還可通過攻擊來牟利;黑產還可以利用“肉雞”反覆發起遠程攻擊,挖礦、DDoS等,將對企業的品牌聲譽造成無法挽回的惡劣影響。
主動防禦,拒絕“肉雞”
傳統以防禦為核心的安全策略已經過時,基於大數據的主動防禦機制對企業的系統、應用和用戶訪問行為數據進行關聯、分析和挖掘,並採用機器學習和算法來檢測異常行為,正越來越多的應用到企業的安全保護中。
發現入侵問題、定位入侵問題、溯源發現入侵途徑、呈現入侵攻擊全貌是大數據安全分析平臺能力的重要體現。在確切掌握入侵攻擊的具體信息後,可以快速採取處置措施,杜絕出現反覆被黑產利用當作“肉雞”的類似事件。
近期瀚思科技為某製造業客戶部署大數據安全系統,在歷史數據檢測中發現一例客戶系統被利用phpMyAdmin漏洞入侵,成為被控制的“肉雞”,並遠程發起DDoS攻擊的事件。
事件簡要描述:
瀚思科技在某客戶環境中通過瀚思大數據安全分析平臺中集成的NTA分析用戶的歷史數據,發現存在大量“針對phpMyAdmin攻擊”和“文件包含攻擊”,通過瀚思大數據安全分析平臺的事件分析後發現的確存在有客戶系統被利用phpMyAdmin漏洞入侵,成為被控制的“肉雞”。結合NTA的流量數據進行了深入溯源分析,發現了黑產的攻擊路徑,提取出了黑產的攻擊腳本。通過解密攻擊腳本,發現此腳本是用以發起DDOS攻擊,利用瀚思大數據安全分析平臺驗證了確實有攻擊發生,完整呈現了這次黑產的攻擊全景。
事件背景:
瀚思科技在某製造業客戶的歷史數據中檢測到服務器的phpMyAdmin頁面被文件包含攻擊,並且成功執行了遠程腳本,發起DDoS攻擊,通過瀚思大數據分析平臺對整個攻擊事件進行了溯源分析。
事件調查過程:
1. 問題發現
瀚思科技安全分析人員通過瀚思NTA輸出的告警發現存在大量“針對phpMyAdmin攻擊”和“文件包含攻擊”
“針對phpMyAdmin攻擊”詳情
“文件包含攻擊”詳情
2. 問題分析
通過瀚思企業版事件查詢對相關告警事件進行溯源,得到外網機器提交的請求內容如下:
以上請求內容中有兩點異常:
(1)攻擊者直接訪問了phpMyAdmin的setup.php頁面。瀚思科技分析人員通過訪問該頁面,發現這個頁面可以直接通過公網訪問,沒有任何權限限制,存在非常大的安全風險。
(2)攻擊者提交的請求中包含action,其中action內容被URL編碼,還原action內容如下,可見攻擊者通過action複寫了phpMyadmin的配置文件,從而下載並執行遠程ftp上的php腳本,遠程php腳本分別為:ftp://xx.xx.xx.xxx/pub/cj.php和ftp://yy.yy.yy.yyy/.x
腳本內容如下:可見這兩個腳本主要作用為發起DDoS攻擊。
3. 問題驗證
通過瀚思大數據分析平臺驗證內網服務器存在有上述ftp服務器的21端口通訊的事件,說明遠程文件包含攻擊成功。
事件處理結果:
已將問題和處理建議報告給客戶。協助客戶解決漏洞問題,並清除感染,做好進一步防護。
建議及預防:
1.經查證內網服務器使用的phpMyadmin版本不是最新版本,存在遠程文件包含漏洞,建議所有使用phpMyadmin舊版本的服務器升級到最新的4.8.0版本。
2. phpMyAdmin可直接通過公網訪問,存在非常大的安全風險,建議客戶嚴格控制訪問權限。
3. 使用瀚思大數據分析平臺對相關事件進行長期監控,第一時間感知安全風險,及時處理避免相關安全事件造成更大的破壞。
利用瀚思大數據安全分析平臺以及NTA的實時流量分析,並結合全球威脅情報,可以在第一時間偵測出黑產的攻擊,通過大數據安全分析平臺提供的溯源分析功能,可以快速定位問題、找到入侵攻擊途徑,展現入侵攻擊全貌,並採取相應措施實現主動防禦,幫助客戶抵禦攻擊,拒絕成為黑產的“肉雞”。全面提升客戶的安全防護水平。
閱讀更多 天和海夢 的文章
關鍵字: 黑產 遠程 phpMyAdmin
