近日,奇安信盘古实验室披露了黑客组织 “方程式”(疑似隶属于美国国安局NSA)所制造的顶级后门“电幕行动(Bvp47)”,据悉,该后门被用于监视并控制受害组织网络,已侵害全球45个国家和地区,持续时间长达十几年。
Bvp47之所以被称为“超级后门”,是因为其隐蔽性极强,采用高强度加密代码编写,具备自隐藏和反取证自毁设计,Bvp47可以绕过linux的安全子系统Selinux,Hook系统函数进行自身进程、文件、网络隐藏,同时采用BPF隐蔽信道连接C2及其他被感染服务器,可避免直接的内核网络协议栈hook被检测出,因此发现难度极大。
除了后门外,勒索病毒、挖矿、僵尸程序、webshell等针对服务器的恶意代码正在不断发展进化和增殖,据国家互联网应急中心CNCERT最新发布的《互联网威胁报告》统计,2022年1月,境内 446万余个IP地址对应的主机被木马或僵尸程序控制事件查看器,月度增长40.0%,同时境内被篡改及被植入后门的网站的数量分别高达4,327个和1,812个,服务器端的恶意代码威胁不容轻视。
服务器恶意代码有哪些类型?
据奇安信云与服务器安全BG统计,根据恶意代码的危害,有如下的常见类型:
如何快速检测服务器端恶意代码,对抗黑客攻击
1.快速检测已存在的恶意代码
奇安信椒图服务器安全管理系统(以下简称:椒图)集合了猫头鹰、clamav、Bitdefender三大反病毒引擎,采用云+本地的检测方式,可以快速检测服务器端存在的恶意代码,包括后门、勒索、病毒、webshell等。
2.防恶意代码投放
反病毒引擎采用特征比对的方式,对于已知的恶意代码几乎可以全部检出,但对于变形及新型的恶意代码检测能力不足,尤其是对Bvp47这类最新披露的高级后门检测效果一般,因此我们对抗恶意代码更重要的还是要切断其投放途径。
根据ATT&CK攻击矩阵,目前恶意代码上传服务器最常用的攻击手段是暴力破解、漏洞利用。椒图的暴力破解防护策略包含弱口令检测和暴力破解检测两部分,弱口令可以快速检测出系统&应用(ftp、Oracle、MySql、tomcat等)存在的弱口令及口令复用事件查看器,避免口令风险导致的服务器非法入侵;同时实时监测暴力破解行为并报警、快速锁定攻击者IP。
椒图采用虚拟补丁+运行时防护策略来应对漏洞利用攻击,虚拟补丁功能是在内核态基于WFP框架/Netfilter框架实现引流功能,将主机的入站、出站流量通知给应用态的IPS引擎,并用IPS引擎对流量实施检测防护,可以实现在不打实体补丁的情况下,防止黑客利用漏洞攻击服务器;在运行时防护阶段通过IN-app & RASP双重检测技术,可以有效监控网络流量,实现对网络流量转化成服务器本地文件操作、命令执行、网络IO全过程的监控,从而发现这个过程中可能存在的漏洞利用行为,对0day漏洞利用同样具备很强的防护能力;椒图的无文件检测引擎还会深入到powershell、vbs等系统进程内部,及时发现无文件型恶意代码注入和无文件攻击。
3. 防恶意代码执行
Bvp47这类后门污染服务器就必须在本地执行,因此即使后门被传到了服务器,只要禁止其执行,就可以让其“灭活失效”。椒图应用白名单功能可以实现对二进制文件的执行监控及控制,通过创建机器学习任务,自动创建出系统进程的白名单,运行策略后,当黑客利用漏洞执行了不在白名单内的恶意进程,如Bvp47后门,椒图Agent的内核驱动模块会阻止该其执行。
4. 防恶意代码横向传播与外连
单台服务器的沦陷并不可怕,可怕的是恶意代码快速在内网传播,
“BVP47后门搭配0day漏洞,发起一个隐蔽的敲门syn包就能入侵,整个发起过程受害者无感知,可以让黑客能窥视机构的内网系统,就好像给攻击对象安了‘电幕’,一切秘密尽在掌握。”
因此对抗恶意代码的最后一项重要工作是阻止其非法外连,将污染源限制在最小范围内,椒图采用微隔离技术来限制访问源,实现服务器访问权限的细粒度切分。微隔离基于网卡驱动程序,可以获取流量信息(网络通信五元组及业务标签信息),基于流量中的ip、端口等数据信息,以及识别到的业务角色标签与策略库规则做对比,符合的流量访问可以通过,不符合的流量访问将拒绝访问,可以自动识别对外服务进程的外连情况,并且可以限制特定进程只能访问特定的ip或域名,从而有效阻断Bvp47后门这类非法进程外连C2服务器或者横向污染内网服务器。
Bvp47不会是最后一个超级后门
随着现代战争的升级,恶意代码正式成为冷兵器、热兵器之外的“第三种武器”,据媒体报道,俄罗斯-乌克兰战争爆发后,全球黑客组织“匿名者”(Anonymous)在社交平台上发文称,正式对俄罗斯发起“网络战争”,当天俄罗斯电视台(RT)、克里姆林宫、俄联邦委员会、俄罗斯安全委员会等政府网站就遭到网络攻击并一度陷入瘫痪。
就像冷热兵器会不断升级一样,恶意代码也正在无限进化,Bvp47不会是最后一个高级后门,而我们和恶意代码的战争也才刚刚拉开序幕。
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,一年会员只需98元,全站资源免费下载 点击查看详情
站 长 微 信/QQ: 55022437
