过去的一年里,我们可能已经注意到了一个明显的趋势:安全对抗正逐步迁移至云端。
如:今年hw的要求中增加了云资产相关的得分项计算
如:越来越多的安全工具开始专注于云安全检测方向
如:越来越多的安全峰会加入了云原生安全方向议题
随着云计算技术的迅猛发展,越来越多的企业和组织将其关键业务迁移到了云上,享受着灵活性、可扩展性和高效性带来的种种好处。然而,伴随着这种云原生趋势的是不可忽视的安全威胁。云计算环境的复杂性和全球化使得安全风险愈发严峻。
在这个云计算时代,安全团队必须时刻保持警惕,并及时作出调整来适应新型的云上攻击。不容忽视的是,传统的安全措施已经不再适用于云环境。因此,面对这种迅猛的云原生趋势,在本次的hw中,我们应该如何对这种新型的云上攻击进行防护?
为什么 hvv 前的巡检很重要?
hvv 前进行巡检工作是为了确保网络的安全性和稳定性:
这款专项检测工具有 hvv 前巡检插件,方便在开始前几天入场前做一个摸底检查。主要包括:
基线检查 基于 CIS benchmark 实现了 docker/kubernetes 的检测,快速按照云原生安全实践的最佳标准,对所负责的云环境进行核查,列出具体的检测项合格情况,来为容器安全加固、云安全建设提供指导性的方向建议。 重大漏洞扫描 包括 2022-2023 发生的最新漏洞,并对其中的关键性漏洞 / 红队常利用漏洞进行扫描和检查,如:WebLogic 远程代码执行漏洞、Nacos 身份认证绕过漏洞、ThinkPHP nday等等。除此之外,还收录了本年度云原生场景下的相关重要漏洞,如:minio CVE-2023-28432等。 重大漏洞扫描主要专项针对多年 hw 红队最常利用的打点漏洞,以此来与红队实施精准打击性的对抗,为防守人员增加一张强力有效的王牌。
在众多云实战攻防中,权限的提升往往是最关键、最核心的攻击链路节点;当由于各种原因导致容器沦陷时,良好的权限控制能够很大程度的阻止攻击的扩散。而容器内的权限提升,又主要分了两个部分:
针对这两个部分,这款工具提供了 2 个专项插件:
检测了容器的各项配置,结合容器常用逃逸方法,逐一进行审查,探测是否存在逃逸的利用Hikvision Files Upload 链路;防止攻击行为扩散至宿主机器导致更严重的安全事件。
基于常见提权手段,对容器内不安全的权限配置进行检测,防止攻击者在容器内部获取到容器 root 权限。
第一步砍断了攻击者继续扩散的希望,保证防守人员能有足够的时间来响应、处理红队的攻击事件。
后门攻击是攻击者利用系统或应用程序中的漏洞,以隐藏的方式在目标系统上安装恶意代码的手段。这使得攻击者可以在未经授权的情况下继续访问系统,从而造成不可估量的损害。
后门攻击的特征包括:
・隐蔽性:后门常常使用隐蔽的手法,使其难以被发现。
・持久性:攻击者希望后门能够长期存在,以持续地获取访问权限。
・远程控制:攻击者可以通过后门远程操控受感染系统。
・数据窃取:后门通常用于窃取敏感数据或重要信息。
veinmind-backdoor 对于后门安全问题,结合云上实战场景,实现了如下部分的检测: • 多种后门类型****检测:如bashrc、动态链接库、inetd、sshd等常见后门检测。 • 内核级 rookit****检测:近百种 rootkit 的检测识别,如LKM、Superkit等。
第二步切断了攻击者持续攻击的可能性。
红队的入侵手段多不胜数、防不胜防;防守人员在做了多重防护后,如何能够增加自己的防守信心?入侵痕迹检测插件可以检测容器是否曾被攻击 / 已经沦陷:
veinmind-trace 提供了如下的常见入侵痕迹检测:
快速扫描容器中的异常进程:
• 隐藏进程 (mount -o bind 方式)
• 反弹 shell 的进程 • 带有挖矿、黑客工具、可疑进程名的进程 • 包含 Ptrace 的进程
快速扫描容器中的异常用户:
• uid=0 的非 root 账户
• uid 相同的用户
快速扫描容器中的异常文件系统:
• 敏感目录权限异常
• cdk 工具利用痕迹检测
下载地址:https://stack.chaitin.com/tool/detail?id=1206
扫描后完整输出报告示例: