失陷云服務(wù)器安全監(jiān)控研究

賴(lài)建華

摘 要：云計(jì)算環(huán)境下，云租戶(hù)的安全邊界已經(jīng)回到云服務(wù)器自身，快速發(fā)現(xiàn)失陷云服務(wù)器是云租戶(hù)最后的安全防線。在分析云服務(wù)器失陷特征的基礎(chǔ)上，提出了云服務(wù)器入侵監(jiān)控的實(shí)現(xiàn)框架，為快速識(shí)別失陷云服務(wù)器提供解決方案。

關(guān)鍵詞：失陷云服務(wù)器；失陷云主機(jī)；入侵監(jiān)控；入侵感知

DOIDOI：10.11907/rjdk.162395

中圖分類(lèi)號(hào)：TP309

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)文章編號(hào)：16727800（2016）011018103

0 引言

云服務(wù)器是IaaS服務(wù)提供商基于虛擬化技術(shù)虛擬化出來(lái)的Guest OS（也稱(chēng)“虛擬機(jī)”），具有簡(jiǎn)單高效、處理能力可以彈性伸縮的特點(diǎn)。云服務(wù)器采用通用的操作系統(tǒng)（Windows、Linux）、數(shù)據(jù)庫(kù)等系統(tǒng)軟件，運(yùn)行用戶(hù)業(yè)務(wù)應(yīng)用軟件。在服務(wù)器方面存在的安全風(fēng)險(xiǎn)問(wèn)題與傳統(tǒng)安全風(fēng)險(xiǎn)是一樣的。在IaaS環(huán)境下，云服務(wù)器的操作系統(tǒng)、運(yùn)行環(huán)境以及應(yīng)用軟件的安全性由云服務(wù)器的用戶(hù)自行負(fù)責(zé)（參見(jiàn)國(guó)標(biāo)GB/T 31168-2014）[1]。從某種意義上講，云服務(wù)器的安全邊界已經(jīng)轉(zhuǎn)移到云服務(wù)器自身了。

在互聯(lián)網(wǎng)中，服務(wù)器存儲(chǔ)著大量有價(jià)值的信息資源，黑客懷著非法控制、竊取數(shù)據(jù)、駐留后門(mén)等目的，入侵互聯(lián)網(wǎng)服務(wù)器系統(tǒng)。在傳統(tǒng)業(yè)務(wù)向云計(jì)算遷移后，云服務(wù)器自然也成了黑客攻擊的首要目標(biāo)。據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布的2015年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[2]顯示，2015年，被黑客控制的僵尸服務(wù)器IP地址為10萬(wàn)余個(gè)，境內(nèi)7.5萬(wàn)個(gè)網(wǎng)站被植入后門(mén)，境內(nèi)被篡改的網(wǎng)站數(shù)量為24 550個(gè)。

近年來(lái)爆發(fā)的各種安全事件證明，黑客攻擊對(duì)象已經(jīng)從傳統(tǒng)的捏軟柿子模式轉(zhuǎn)變?yōu)獒槍?duì)性攻擊，攻擊手段從傳統(tǒng)的已知漏洞攻擊轉(zhuǎn)變?yōu)閺?fù)雜的高級(jí)威脅，甚至采用0 Day漏洞進(jìn)行攻擊。而地下黑色產(chǎn)業(yè)鏈所蘊(yùn)藏的巨大經(jīng)濟(jì)利益使攻擊目標(biāo)從早期的技術(shù)炫耀轉(zhuǎn)變?yōu)槔骝?qū)動(dòng)，攻擊者也從個(gè)體走向有組織的黑客團(tuán)體。

面對(duì)利益驅(qū)動(dòng)的黑客針對(duì)云服務(wù)器的攻擊，可按照P2DR（策略-防護(hù)-監(jiān)測(cè)-響應(yīng)）安全模型[3]開(kāi)展安全防御，如圖1所示。本文著重研究云服務(wù)器安全監(jiān)測(cè)環(huán)節(jié)，分析如何發(fā)現(xiàn)云服務(wù)器被入侵的痕跡，及時(shí)采取應(yīng)急處置措施，將損失降低到最小。

1 云服務(wù)器失陷過(guò)程

為了研究云服務(wù)器被黑客入侵的痕跡，首先必須了解黑客入侵的過(guò)程，黑客針對(duì)云服務(wù)器的攻擊由多個(gè)階段組成。美國(guó)軍工巨頭洛克希德·馬丁（Lockheed Martin）公司提出了一個(gè)叫“Cyber Kill Chain”（CKC，網(wǎng)絡(luò)攻擊鏈）[3]的模型，該模型將入侵者對(duì)網(wǎng)絡(luò)的攻擊分為7個(gè)階段，如圖2所示。

失陷云服務(wù)器指被攻擊者成功入侵的云服務(wù)器，在主機(jī)安全這個(gè)層次上，失陷云服務(wù)器與傳統(tǒng)服務(wù)器并無(wú)本質(zhì)區(qū)別，本文的結(jié)論也適合于傳統(tǒng)服務(wù)器。網(wǎng)絡(luò)攻擊鏈模型的7個(gè)階段如下：

（1）目標(biāo)探測(cè)（Reconnaissance）。攻擊者明確攻擊對(duì)象后，通常會(huì)從3方面對(duì)攻擊目標(biāo)進(jìn)行探測(cè)：①?gòu)纳鐣?huì)工程學(xué)等角度收集被攻擊對(duì)象的人員信息、防御措施；②從互聯(lián)網(wǎng)域名注冊(cè)、搜索引擎、端口掃描等角度收集被入侵對(duì)象（IP）的信息；③從開(kāi)放端口和服務(wù)進(jìn)一步發(fā)現(xiàn)可攻擊的弱點(diǎn)，如Web應(yīng)用漏洞、系統(tǒng)漏洞等。

（2）準(zhǔn)備武器（Weaponization）。基于對(duì)攻擊目標(biāo)的探測(cè)結(jié)果，利用已知漏洞或編寫(xiě)針對(duì)目標(biāo)現(xiàn)有漏洞的惡意代碼，并進(jìn)行繞過(guò)防御措施的測(cè)試，保障攻擊代碼能夠?qū)⒍拒浖鈿⒒蚶@過(guò)其它防護(hù)手段。云服務(wù)器（或傳統(tǒng)服務(wù)器）的漏洞主要分為3個(gè)層次：應(yīng)用軟件漏洞（Web應(yīng)用）、運(yùn)行環(huán)境漏洞（Apache、IIS、PHP等）以及系統(tǒng)級(jí)漏洞（Windows、Linux）。

（3）投放武器（Delivery）。攻擊者攻擊云服務(wù)器可能采用正面利用漏洞進(jìn)行攻擊，正面攻擊無(wú)效可能采用從維護(hù)人員入手等手段進(jìn)行側(cè)面攻擊。維護(hù)人員的攻擊可以通過(guò)釣魚(yú)郵件、釣魚(yú)網(wǎng)頁(yè)以及USB感染的方式發(fā)起魚(yú)叉式攻擊，導(dǎo)致維護(hù)人員電腦植入事前準(zhǔn)備好的惡意代碼，進(jìn)一步感染云服務(wù)器。

（4）漏洞利用（Exploit）。惡意代碼成功植入云服務(wù)器，獲得初步權(quán)限，進(jìn)一步利用系統(tǒng)其它漏洞（如嗅探、口令破解、第三方軟件、數(shù)據(jù)庫(kù)系統(tǒng)漏洞等）提升自身權(quán)限，最終獲得管理員控制權(quán)。

（5）安裝后門(mén)（Installation）。獲得系統(tǒng)高級(jí)權(quán)限后，黑客通常會(huì)進(jìn)一步上傳各類(lèi)工具，修改系統(tǒng)賬號(hào)、放置后門(mén)木馬來(lái)達(dá)到其入侵和控制的目標(biāo)。

（6）命令控制（Command & Control）。惡意軟件在云服務(wù)器啟動(dòng)后，將與攻擊者在遠(yuǎn)端部署的命令與控制（C&C）服務(wù)器主動(dòng)建立連接，接收來(lái)自C&C服務(wù)器發(fā)送的控制命令。

（7）執(zhí)行行動(dòng)（Actions）。攻擊者通過(guò)C&C服務(wù)器控制云服務(wù)器發(fā)起進(jìn)一步的惡意行為，如DDoS攻擊或入侵新的目標(biāo)，竊取有價(jià)值的數(shù)據(jù)或外傳已獲取的數(shù)據(jù)等。

攻陷云服務(wù)器的手段多種多樣，而攻陷之后造成的影響往往發(fā)生在網(wǎng)頁(yè)篡改、被云運(yùn)營(yíng)商封殺甚至被監(jiān)管部門(mén)通報(bào)才能夠發(fā)現(xiàn)自己的云服務(wù)器已經(jīng)失陷。從失陷到發(fā)現(xiàn)的時(shí)間周期可能是幾天、幾月甚至更長(zhǎng)時(shí)間。如何在云服務(wù)器失陷后最短時(shí)間內(nèi)及時(shí)發(fā)現(xiàn)，便于云服務(wù)器管理者迅速采取隔離、恢復(fù)等響應(yīng)措施，將黑客攻擊的損失降到最低。本文將對(duì)云服務(wù)器入侵痕跡進(jìn)行分析，并給出自動(dòng)化監(jiān)控的解決方案。

2 云服務(wù)器入侵痕跡特征分析

云服務(wù)器的安全性依賴(lài)于兩個(gè)方面：一是云計(jì)算服務(wù)提供商的安全基礎(chǔ)設(shè)施，例如防火墻、入侵防御等軟硬件設(shè)備；二是依賴(lài)于云服務(wù)器管理員采取的安全防護(hù)措施。

云服務(wù)器的安全防護(hù)很難做到像傳統(tǒng)物理機(jī)那樣安裝很耗資源的殺毒軟件、軟件防火墻等，這些安全防護(hù)軟件可能會(huì)消耗數(shù)十上百兆的內(nèi)存以及部分CPU資源，傳統(tǒng)物理機(jī)的計(jì)算資源通常是過(guò)剩的，而云服務(wù)器的計(jì)算資源是按需申請(qǐng)的，如何盡量減少大型殺毒軟件和安全防護(hù)軟件的開(kāi)銷(xiāo)，而又能夠快速發(fā)現(xiàn)服務(wù)器安全狀態(tài)，是云服務(wù)器安全值得研究的一個(gè)課題。

本文研究的目標(biāo)是黑客入侵系統(tǒng)后留下的痕跡，以快速發(fā)現(xiàn)服務(wù)器被入侵的事實(shí)。從入侵過(guò)程可以看出，黑客在入侵過(guò)程中，從漏洞利用、權(quán)限提升、控制系統(tǒng)等環(huán)節(jié)均有可能留下入侵痕跡。

從表1可以看出，云服務(wù)器遭受到入侵，一定會(huì)在主機(jī)系統(tǒng)中留下痕跡。本文從系統(tǒng)層面、網(wǎng)絡(luò)層面、應(yīng)用層面以及日志層面等4個(gè)維度來(lái)分析黑客入侵痕跡。

2.1 系統(tǒng)層面入侵痕跡

系統(tǒng)層面主要包括系統(tǒng)啟動(dòng)項(xiàng)、賬號(hào)口令、異常進(jìn)程、異常服務(wù)這4個(gè)方面。

（1）賬號(hào)口令。黑客控制服務(wù)器后，為了后期能夠長(zhǎng)期控制服務(wù)器，往往會(huì)創(chuàng)建系統(tǒng)賬號(hào)，而新創(chuàng)賬號(hào)往往是管理員組的。重點(diǎn)要檢查在管理員組的賬號(hào)是否可疑，包括Windows的管理員組和Linux系統(tǒng)的root權(quán)限賬號(hào)。Windows系統(tǒng)還應(yīng)該警惕隱藏賬號(hào)和克隆賬號(hào)，這需要通過(guò)管理工具或注冊(cè)表來(lái)進(jìn)一步發(fā)現(xiàn)。

（2）系統(tǒng)啟動(dòng)項(xiàng)。黑客入侵要駐留后門(mén)，最簡(jiǎn)單的辦法就是通過(guò)將后門(mén)放在系統(tǒng)開(kāi)機(jī)啟動(dòng)項(xiàng)和系統(tǒng)任務(wù)計(jì)劃兩種方式進(jìn)行加載和激活。在Windows系統(tǒng)或Linux系統(tǒng)中查找異常啟動(dòng)項(xiàng)，通常能夠快速發(fā)現(xiàn)入侵痕跡。部分系統(tǒng)木馬已經(jīng)不再采用這種明顯的啟動(dòng)方式，而采用線程注入和系統(tǒng)驅(qū)動(dòng)加載等方式，這需要PCHunter等更加專(zhuān)業(yè)的工具。

（3）異常進(jìn)程。通過(guò)查看進(jìn)程來(lái)識(shí)別可疑程序是否在服務(wù)器中運(yùn)行。很多高級(jí)后門(mén)（有時(shí)稱(chēng)為Rootkit）以系統(tǒng)驅(qū)動(dòng)形式、內(nèi)核鉤子以及應(yīng)用鉤子掛載形式存在，運(yùn)行之后并沒(méi)有進(jìn)程。這類(lèi)木馬檢查需要借助一些專(zhuān)業(yè)工具，比如PCHunter等。

（4）異常服務(wù)。后門(mén)木馬有可能以后臺(tái)駐留服務(wù)的形式運(yùn)行，具有一定的隱蔽性。

2.2 網(wǎng)絡(luò)層面入侵痕跡

查找網(wǎng)絡(luò)層面入侵痕跡的目的是發(fā)現(xiàn)已經(jīng)在運(yùn)行并且與互聯(lián)網(wǎng)通信的行為。后門(mén)木馬要跟攻擊者建立聯(lián)系，必定要跟外網(wǎng)發(fā)起連接，建立C&C通信（命令與控制）或上傳盜取的數(shù)據(jù)，甚至作為僵尸主機(jī)發(fā)起對(duì)其它受害者的攻擊。

通過(guò)系統(tǒng)命令或工具可以查看網(wǎng)絡(luò)連接是否正常，網(wǎng)絡(luò)連接狀態(tài)包括LISTENING（監(jiān)聽(tīng)）、ESTABLISHED（建立）、TIME_WAIT（等待）等狀態(tài)。一般而言，服務(wù)器不會(huì)主動(dòng)發(fā)起對(duì)互聯(lián)網(wǎng)的連接，如果發(fā)現(xiàn)服務(wù)器主動(dòng)訪問(wèn)互聯(lián)網(wǎng)的80、21等端口，那么一定要進(jìn)一步檢查發(fā)起連接的進(jìn)程是否可疑，連接的目標(biāo)域名或IP是否可疑。

2.3 應(yīng)用層面入侵痕跡

服務(wù)器被黑客入侵，若黑客沒(méi)有獲得服務(wù)器控制權(quán)，則很難查到黑客入侵痕跡，但并不代表服務(wù)器沒(méi)有被黑客入侵。

當(dāng)前黑客通常從Web應(yīng)用作為入口，通過(guò)上傳Webshell（Web腳本木馬）來(lái)達(dá)到控制服務(wù)器的目的。Webshell是一種網(wǎng)頁(yè)腳本程序，可以用任何網(wǎng)頁(yè)腳本語(yǔ)言來(lái)編寫(xiě)，包括PHP、ASP、JSP、.NET、JS。有些Webshell還可以隱藏在圖片（.jpg）文件中。

在做Web服務(wù)器入侵痕跡檢查時(shí)，要從網(wǎng)站的根目錄開(kāi)始查找可疑的Webshell，以及一些可疑的.bak、.zip、.jpg、.cer等文件。

2.4 日志層面入侵痕跡

理論上講，只要服務(wù)器進(jìn)行了合理的日志管理配置，絕大部分的入侵痕跡都能夠在日志中找到蛛絲馬跡。但由于日志分析的專(zhuān)業(yè)性較高，而且工作量很大，因此，在做服務(wù)器入侵分析時(shí)，以上分析都沒(méi)有發(fā)現(xiàn)可疑的地方，再進(jìn)入日志分析，就可提高效率。

日志分為系統(tǒng)日志、應(yīng)用日志和數(shù)據(jù)庫(kù)日志幾大類(lèi)。簡(jiǎn)單的日志分析方法為人工查看，如果日志量巨大，必須借助專(zhuān)業(yè)的日志分析工具來(lái)分析黑客入侵痕跡。

3 云服務(wù)器入侵監(jiān)控實(shí)現(xiàn)

云服務(wù)器入侵痕跡檢查在服務(wù)器安全運(yùn)維過(guò)程中是非常關(guān)鍵的環(huán)節(jié)，如果管理員同時(shí)要管理數(shù)十上百臺(tái)的云服務(wù)器，對(duì)所有云服務(wù)器開(kāi)展人工檢查，其工作量是非常龐大的。設(shè)計(jì)一個(gè)軟件對(duì)云服務(wù)器進(jìn)行自動(dòng)化安全檢查，顯得尤為必要。

3.1 云服務(wù)器安全監(jiān)控需求

3.1.1 監(jiān)控準(zhǔn)確率高

對(duì)于黑客入侵痕跡，如果產(chǎn)生大量誤報(bào)甚至漏報(bào)，對(duì)真正的入侵痕跡難以發(fā)現(xiàn)，那么監(jiān)控的價(jià)值便大大折扣。為了提高入侵痕跡檢測(cè)的準(zhǔn)確性，除了采用傳統(tǒng)基于特征的檢測(cè)技術(shù)以外，還需要引入基于基線的學(xué)習(xí)與分析技術(shù)，對(duì)于可疑的后門(mén)或木馬引入沙盤(pán)虛擬執(zhí)行技術(shù)來(lái)提升對(duì)異常特征的發(fā)現(xiàn)準(zhǔn)確率。

3.1.2 占用主機(jī)資源小

市場(chǎng)上已經(jīng)有類(lèi)似的主機(jī)安全防護(hù)類(lèi)產(chǎn)品（例如360衛(wèi)士），兼顧監(jiān)控、防護(hù)于一身，功能全面，僅安裝包就有數(shù)十兆，運(yùn)行時(shí)嵌入到系統(tǒng)內(nèi)核，占用資源大。而云服務(wù)器安全監(jiān)控以監(jiān)控為目的，只需要定期采集數(shù)據(jù)，并不需要調(diào)用系統(tǒng)內(nèi)核API或進(jìn)行復(fù)雜的數(shù)據(jù)分析。因此，可以做到占用很小的系統(tǒng)資源甚至在閑時(shí)不占用任何資源，這對(duì)于對(duì)資源敏感的云服務(wù)器是一種比較好的選擇。

3.1.3 集中監(jiān)控與告警

管理員面對(duì)數(shù)十甚至上百臺(tái)云服務(wù)器時(shí)，對(duì)云服務(wù)器的安全狀態(tài)能夠集中監(jiān)控，對(duì)偏離基線的事件能夠及時(shí)發(fā)現(xiàn)甚至告警。

3.2 云服務(wù)器入侵監(jiān)控架構(gòu)設(shè)計(jì)

失陷主機(jī)入侵監(jiān)控系統(tǒng)首先要能夠?qū)υ品?wù)器系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和日志信息的關(guān)鍵信息進(jìn)行采集和處理，然后進(jìn)行特征分析并能夠給運(yùn)維管理人員加以展示。

云服務(wù)器入侵監(jiān)控系統(tǒng)各層主要功能簡(jiǎn)要描述如下：①數(shù)據(jù)采集層：采用輕量級(jí)客戶(hù)端對(duì)主機(jī)信息進(jìn)行采集，并將存在變更的信息上傳到數(shù)據(jù)處理層；②數(shù)據(jù)處理層：數(shù)據(jù)處理層主要對(duì)上傳的配置文件以及樣本進(jìn)行分類(lèi)存儲(chǔ)和索引，并將不同類(lèi)別的數(shù)據(jù)提交給數(shù)據(jù)分析層處理；③數(shù)據(jù)分析層：對(duì)文本類(lèi)別、可執(zhí)行程序或Webshell等按照不同的策略進(jìn)行分析，并形成分析結(jié)果；④展示層與告警層：面向用戶(hù)，對(duì)分析結(jié)果進(jìn)行展示，按照危險(xiǎn)級(jí)別進(jìn)行告警。

4 結(jié)語(yǔ)

云服務(wù)器失陷的原因有許多，包括黑客采用0 Day漏洞繞過(guò)所有的防御手段，但黑客不可能不留下任何痕跡。本文對(duì)云服務(wù)器安全問(wèn)題的最后一站——服務(wù)器“失陷”的特征和痕跡進(jìn)行調(diào)查，以避免云服務(wù)器被攻擊后淪為僵尸主機(jī)而不自知；同時(shí)給出了大規(guī)模云服務(wù)器入侵監(jiān)控的自動(dòng)化實(shí)現(xiàn)方式，為大規(guī)模云服務(wù)器安全監(jiān)控提供了解決方案。

參考文獻(xiàn)：

[1] 中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).云計(jì)算服務(wù)安全能力要求（GB/T 31168-2014）[S].2014.

[2] 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2015年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[EB/OL].http：//www.cert.org.cn/publish/main/upload/File/2015annualreport.pdf，2016.

[3] 百度百科.P2DR模型[EB/OL].http：//baike.baidu.com，2013.

[4] ERIC M HUTCHINS，MICHAEL J CLOPPERTY，ROHAN M AMIN.Lockheed martin corporation intelligencedriven computer network defense informed by analysis of adversary campaigns and intrusion kill chains[EB/OL].http：//www.lockheedmartin.com/content/dam/l.ockheed/data/corporate/documents/LMWhitePaperIntelDrivenDefense.pdf，2014.

（責(zé)任編輯：孫 娟）