RSA Conference 2019——態勢感知產品進化論

新聞 03-12

0x00、前言

RSA Conference 2019正在美國拉開帷幕，它代表全球頂尖的安全盛宴，作為安全行業中人也小小的研究了一下。今年的主題是better，從0到1的安全產品目前沒怎麼看到，大部分的微創新創新都來自於已經固化的產品形態。態勢感知做為這兩年新出來的產品形態，我想也應該吸收一下大會的精髓。

·1、雲原始安全產品將逐步擴大自己的安全產品線，以滿足雲上用戶對安全的需求，做到傳統安全無縫遷移到雲安全。

·2、所有的產品都要支持多公有雲、混合雲、專有雲環境。態勢感知更加明顯，例如：不能把雞蛋放一個籃子里的多公有雲數據融合，ToG專有政務雲、電子政務外網和互聯網區的安全數據融合、以及現在炒的很火的城市雲大業態安全。

·3、態勢感知除了保護雲主機外，今年的趨勢要增加雲物理機和容器。甚至微服務（API）。容器是一個明顯的趨勢。這就需要產品對容器安全有深入理解和切實可行的改造方案。

·4、態勢感知產品本身的threat hunting也是要加強的部分，除了縱深防禦各個安全組件的全量部署，還需要對主機安全加強輕量級EDR是今天產品研發的重點。還有及時原來傳統的SOC中的log feed的過程也要支撐，還好現在有flume可以更好的把事件日誌格式歸一處理後發送給態勢感知。

·5、最後就是入侵檢測演算法部分，C2隱藏通訊檢測、DNS隱藏隧道檢測、告警圖分析、有效的kill-chain關聯分析部分。這部分需要使用KDE時序統計分析、圖分析等技術。

0x01、實際案例分析

網頁挖礦在公有雲里非常常見的一種入侵行為。下面我就以它的實際案例分析。

tip1:什麼是加密挖掘惡意軟體（CoinHive Javascript）？

CoinHive是一種在線服務，提供可以使用JavaScript安裝在網站上的加密貨幣採礦者，JavaScript礦工在網站訪問者的瀏覽器中運行並在區塊鏈上挖礦。它被宣傳為在網站上放置廣告的替代方案。事實證明，它被黑客用作惡意軟體，首先通過感染網站來劫持網站的最終客戶。

要使用CoinHive挖礦，您所要做的就是在網站的頁眉/頁腳中放置一個小的JavaScript代碼段。當訪問者訪問該站點時，CoinHive JavaScript將被激活並開始利用其可用的CPU功率。現場有10-20名活躍的礦工，平均月收入約為0.25 XMR（約88美元）。為了增加收入，黑客一直在通過注入加密挖掘惡意軟體來利用易受攻擊的網站（CoinHive）。

雖然CoinHive本身並不是惡意服務，但它已被黑客廣泛用於使用被黑網站挖掘硬幣。因此，許多惡意軟體掃描程序和安全機構已將該域列入黑名單。

tip2:如何查找挖礦腳本

我們先使用IDS規則：

ET CURRENT_EVENTS CoinHive In-Browser Miner Detected

."http://220.119.63.29/phpMyAdmin123/index.php"

客戶端查找規則：

find /var/www -name "*.php" -exec grep -l "eval(" {} ;出現以下需要查詢結果需要重點檢查。

1、gzinflate（BASE64_DECODE

2、coinhive

3、BASE64_DECODE

4、eval（BASE64_DECODE

一般攻擊者瞄準WordPress和Drupal站點，因為它們是最常用的。如果攻擊成功，那麼您的系統將變慢，從而給訪問者帶來不便。