廣州熱線

編者按

數字化浪潮蓬勃興起，企業(yè)面臨的安全挑戰(zhàn)亦日益嚴峻。

騰訊安全近期將復盤2022年典型的攻擊事件，幫助企業(yè)深入了解攻擊手法和應對措施，完善自身安全防御體系。

本篇是第三期，用一個實際案例講述了企業(yè)在面臨攻擊時，如何才能及時準確找到攻擊源頭，知曉“我被誰用什么漏洞攻擊了”，及時封堵漏洞，避免重大安全事故的發(fā)生。

“當你幫客戶排掉這個‘雷’之后，23451他們發(fā)了感謝函或者郵件致謝嗎?”小編。

“沒有，但是他們發(fā)來了一個采購訂單。”周工。

這是一個發(fā)生在今年4月初的安全應急響應故事。

異常告警

某天中午，某企業(yè)的安全值班員工進行著例行檢查，發(fā)現安全運營中心SOC發(fā)出了告警，陸續(xù)有主機出現異常告警行為。憑經驗判斷，這應該是一個有目的的入侵行為，值班人員立即通知相關人員上機進行排查，并立即上報安全負責人劉總工。

時間一分一秒過去，入侵源遲遲沒有封堵住，攻擊者已經在進行內網橫移嘗試。安全負責人劉總工意識到了問題的嚴重性，如果不能及時溯源找到攻擊入口并及時收斂漏洞，最終的結果無外乎三種：被“脫褲”，被加密勒索，或者更可怕——潛伏起來什么也不做，等待重要的業(yè)務節(jié)點再發(fā)出致命一擊。

劉總工立即組織了安全運營團隊進行緊急排查，但仍沒有找到攻擊源頭，攻擊還在繼續(xù)，并且影響范圍是未知的“黑盒”，眼前一抹黑的情況更加劇了事態(tài)嚴重性。4小時后，主機安全服務的廠商客戶使用的某老牌主機安全產品負責應急響應的2位工程師也到了現場，他們和駐場的專家一起，加入了排查的隊伍。

在一個空曠的被辟為“臨時作戰(zhàn)室”的會議室里，2位工程師打開電腦登陸了主機安全運營后臺，根據攻擊者留下的蛛絲馬跡，順藤摸瓜排查可疑的機器。他們在寫腳本，十幾個客戶IT和業(yè)務部門的人時不時地踱到他們身后看看。

內網機器被攻陷之后，找出攻擊路徑通常需要一兩天時間，沒有什么別的捷徑，就是一臺機器一臺機器地人工排查。但這一次，經歷了整整5天，仍然沒有找到攻擊源，而攻擊者已經拿到多臺服務器權限，正在橫向滲透到核心資產，眼看就要釀成重大事故。彼時，連續(xù)作戰(zhàn)了5天的安全團隊心態(tài)已經趨于崩潰，“作戰(zhàn)室”里，十幾只煙頭被摁滅在一次性紙杯里，隨處都是被捏扁的紅牛和可樂空罐，無聲訴說著無能為力。

“所有機器一臺臺上去看，從哪臺打過來的，然后順著這個IP走到另外一臺機器，然后繼續(xù)看、繼續(xù)分析，看他從哪進來的，留下什么日志、做了些什么行為。但是有時候那些機器上面并沒有那么完善的日志、記錄，只能憑少數一些異常登錄或者行為來定位它是怎么進來的，整個過程就會很復雜。”一位經驗豐富的安全專家分析道。

常見APT入侵路徑，由于入侵者會刪除日志，隱藏攻擊路徑，造成安全溯源往往會費時費力

“12號12:00之前，問題一定要得到妥善解決，源頭一定要找到!”劉總工下出最后的軍令狀!

深夜的一條微信消息

“我們遭遇大量網絡攻擊，請支援我們?！?1號晚上21點17分，騰訊安全主機安全團隊的X被拉到一個微信群，收到一條@他的信息。

他詢問了幾個基礎問題，心中有了大概，立馬電話搖人，找到兩位熟諳此類問題解決之道的專家周工和吳工進群。時間緊急，也沒有寒暄，直接發(fā)了一個線上會議鏈接。20分鐘后，他們已經了解了客戶目前的IT環(huán)境和受攻擊情況。

吳工和周工沒有開口講述之前，小編的腦海里出現的畫面是一隊人火急火燎趕高鐵、飛機奔赴客戶現場，一頭扎進機房，甚至晚上在機房外面扎個行軍床。今年疫情反復，到處都是異地來訪隔離5+3天，他們能順利趕到一線嗎?

“客戶是在哪個城市?是在北京嗎?”小編。

“也許?不知道?！敝芄?。

“你們都沒有去客戶現場嗎?”小編。

“不需要啊，我們是云原生的漏洞分析引擎，只需要客戶把基礎信息提供給我們，我們就能分析出來?！敝芄?。

預想中的這一切兵荒馬亂都沒有發(fā)生，從接到需求到找到攻擊源，周工他們總共花費了不到1小時。這得益于一個叫WeDetect的自動化漏洞分析引擎，它一方面掌握了云上幾乎所有公開已知的漏洞，客戶如果存在這些已知漏洞，能很快被找出來;而對于那些未披露的0day漏洞，WeDetect則從其攻擊行為上能判斷出異常，并發(fā)出預警。

“一個算力遠勝于人腦、724小時不眠不休的機器，查找起漏洞自然快很多?！眳枪ふf。

數據排查完畢后，吳工把排查結果以及WeDetect如何發(fā)現這個攻擊源的數據反饋給了客戶，客戶眼前一亮，當即下了一個對于SaaS服務來說數額很可觀的訂單。而對于該企業(yè)來說，這也許是他們采購流程里最快的項目之一，但肯定也是說服力最毋庸置疑的項目之一。

wedetect入侵漏洞溯源示意圖

千里眼和順風耳

僅僅是2兩年前，遇上這樣的應急響應事件，吳工也需要去客戶現場，手動一臺臺搜查問題。他記憶最深的一個案例，是某一次客戶被勒索，勒索軟件把一些有用的日志也加密了，導致關鍵溯源數據丟失，客戶用了各種方式都無法找到入口。他早上11點趕到廣州客戶現場，凌晨3點才找到攻擊源，結束工作后打開滴滴準備打車去酒店，發(fā)現忘了訂酒店。站在除了保安之外幾乎空無一人的工業(yè)園區(qū)大門口，他有一瞬間感到很茫然。

另外一次是某個關基企業(yè)被勒索，他們被叫到現場時，很多老牌安全廠商的專家團隊都已經在待命了，場面堪稱中國網絡安全的“夢之隊”。夢之隊花費了數個小時終于還原了攻擊路徑，但對于已經加密的數據是無計可施的，所幸他們從一臺機器上找到一個多月前的備份數據進行了手動恢復。

從Solarwinds事件以來，這兩年密集地涌現了Log4j、Springboots、node-ipc包供應鏈投毒等各種現象級的安全事件，在官方發(fā)布漏洞公告到國內外安全廠商推出響應措施之前，中間有一段“真空時間”是黑產作案的黃金時期，但卻是企業(yè)的噩夢期，很多客戶不知道機器為什么被攻陷、攻擊者打到了哪里，騰訊安全的專家服務團隊一次又一次次接到客戶的應急訴求。

在這樣的事情重復發(fā)生多次，以及2020年以來疫情防控導致出差的不便利之后，周工、吳工團隊開始琢磨：如何才能擺脫被動應急的局面，提升威脅的主動發(fā)現能力?

要解決這個問題，騰訊安全有幾個天然的便利：依托騰訊云和豐富的云原生產品，聯合云上各安全產品日志、主機異常行為數據、攻擊流量數據，騰訊能更全面地掌握云上的最新攻擊態(tài)勢;其次，騰訊擁有豐富的實戰(zhàn)攻防經驗，無論是內部例行的攻防演練，還是各類重保項目中歷練出來的藍軍攻擊手法，能夠實現知己知彼?！白约壕褪枪絷?，我平時攻擊會怎么打，就把這些經驗轉換成對應的模型落地到引擎里面去?！?/p>

前后歷時半年，WeDetect逐漸成形。騰訊 WeDetect??云上威脅狩獵引擎，是騰訊安全基于云原生的自動化漏洞攻擊事件檢測、關聯、響應引擎。結合入侵事件中產生的多維度數據，實時自動化對攻擊事件的關聯、分析、定性。目前??WeDetect??已捕獲到造成云上機器失陷的數百個已公開漏洞，以及數十個未公開漏洞的利用。wedetect能力已經賦能到云鏡攻擊檢測模塊，在實錘漏洞入侵的同時，也展示給客戶嘗試入侵的攻擊，彌補了東西向流量入侵檢測的能力。

經過一年的運營，截至目前，WeDetect??已經在重大漏洞響應中幫助騰訊安全團隊發(fā)現了多起高危漏洞利用，幫助物流企業(yè)、游戲廠商、電商企業(yè)、交通企業(yè)等發(fā)現并及時終止了很多棘手的攻擊。

“這個感知是很強烈的，就好像經歷過高考的每個人都知道670分是什么價值，夠上個985還是211?？蛻舳鄶祵τ诼┒磁挪橛星猩斫涷?，在經歷了那么長時間手工時代，他們看到我們不用去現場也能很快地通過自動化地分析出問題所在，對他們的觸動是很大的。這也直接促成了我們一些商機轉化?！眳枪ふf道。

就在我們發(fā)稿時，WeDetect這個不眠不休的千里眼和順風耳，也正在持續(xù)偵查著云上的漏洞利用情況“風聲”。