“肉鸡”不是吃的那种,是中了木马,或者留了后门,可以被远程操控的机器。个人电脑被变成“肉鸡”后,黑产就可以随意远程控制并窃取账户资料获取利益,或者利用你的设备肆虐传播木马。特别是在近期数字货币暴力驱使下,许多游离在灰色市场的攻击者肆无忌惮的攻击安全性脆弱的设备,把它们变成自己的“肉鸡”。
但试想如果是企业电脑受到攻击变成“肉鸡”,企业的核心数字财产、商业数据、机密情报都将面临泄露危险,同时黑产还可通过攻击来牟利;黑产还可以利用“肉鸡”反复发起远程攻击,挖矿、DDoS等,将对企业的品牌声誉造成无法挽回的恶劣影响。
主动防御,拒绝“肉鸡”
传统以防御为核心的安全策略已经过时,基于大数据的主动防御机制对企业的系统、应用和用户访问行为数据进行关联、分析和挖掘,并采用机器学习和算法来检测异常行为,正越来越多的应用到企业的安全保护中。
发现入侵问题、定位入侵问题、溯源发现入侵途径、呈现入侵攻击全貌是大数据安全分析平台能力的重要体现。在确切掌握入侵攻击的具体信息后,可以快速采取处置措施,杜绝出现反复被黑产利用当作“肉鸡”的类似事件。
近期瀚思科技为某制造业客户部署大数据安全系统,在历史数据检测中发现一例客户系统被利用phpMyAdmin漏洞入侵,成为被控制的“肉鸡”,并远程发起DDoS攻击的事件。
事件简要描述:
瀚思科技在某客户环境中通过瀚思大数据安全分析平台中集成的NTA分析用户的历史数据,发现存在大量“针对phpMyAdmin攻击”和“文件包含攻击”,通过瀚思大数据安全分析平台的事件分析后发现的确存在有客户系统被利用phpMyAdmin漏洞入侵,成为被控制的“肉鸡”。结合NTA的流量数据进行了深入溯源分析,发现了黑产的攻击路径,提取出了黑产的攻击脚本。通过解密攻击脚本,发现此脚本是用以发起DDOS攻击,利用瀚思大数据安全分析平台验证了确实有攻击发生,完整呈现了这次黑产的攻击全景。
事件背景:
瀚思科技在某制造业客户的历史数据中检测到服务器的phpMyAdmin页面被文件包含攻击,并且成功执行了远程脚本,发起DDoS攻击,通过瀚思大数据分析平台对整个攻击事件进行了溯源分析。
事件调查过程:
1. 问题发现
瀚思科技安全分析人员通过瀚思NTA输出的告警发现存在大量“针对phpMyAdmin攻击”和“文件包含攻击”
“针对phpMyAdmin攻击”详情
“文件包含攻击”详情
2. 问题分析
通过瀚思企业版事件查询对相关告警事件进行溯源,得到外网机器提交的请求内容如下:
以上请求内容中有两点异常:
(1)攻击者直接访问了phpMyAdmin的setup.php页面。瀚思科技分析人员通过访问该页面,发现这个页面可以直接通过公网访问,没有任何权限限制,存在非常大的安全风险。
(2)攻击者提交的请求中包含action,其中action内容被URL编码,还原action内容如下,可见攻击者通过action复写了phpMyadmin的配置文件,从而下载并执行远程ftp上的php脚本,远程php脚本分别为:ftp://xx.xx.xx.xxx/pub/cj.php和ftp://yy.yy.yy.yyy/.x
脚本内容如下:可见这两个脚本主要作用为发起DDoS攻击。
3. 问题验证
通过瀚思大数据分析平台验证内网服务器存在有上述ftp服务器的21端口通讯的事件,说明远程文件包含攻击成功。
事件处理结果:
已将问题和处理建议报告给客户。协助客户解决漏洞问题,并清除感染,做好进一步防护。
建议及预防:
1.经查证内网服务器使用的phpMyadmin版本不是最新版本,存在远程文件包含漏洞,建议所有使用phpMyadmin旧版本的服务器升级到最新的4.8.0版本。
2. phpMyAdmin可直接通过公网访问,存在非常大的安全风险,建议客户严格控制访问权限。
3. 使用瀚思大数据分析平台对相关事件进行长期监控,第一时间感知安全风险,及时处理避免相关安全事件造成更大的破坏。
利用瀚思大数据安全分析平台以及NTA的实时流量分析,并结合全球威胁情报,可以在第一时间侦测出黑产的攻击,通过大数据安全分析平台提供的溯源分析功能,可以快速定位问题、找到入侵攻击途径,展现入侵攻击全貌,并采取相应措施实现主动防御,帮助客户抵御攻击,拒绝成为黑产的“肉鸡”。全面提升客户的安全防护水平。
閱讀更多 天和海夢 的文章
關鍵字: phpMyAdmin 数字货币 脚本语言
