启明星辰：首例 RedisDDOS 样本捕获背后的故事

2015年11月16日，国内安全研究团队启明星辰积极防御实验室成功捕获了国内首例利用Redis漏洞实现的DDOS僵尸网络控制样本。自Redis漏洞被公布以来，网络空间出现了大量利用该漏洞的攻击事件，但利用该漏洞快速部署僵尸程序，并通过僵尸网络实施高强度的分布式拒绝服务攻击还是首例。

深厚的攻防技术积累与全新的检测产品-XDS有效协同是本次样本被捕获的关键。

我们在某企业客户IT系统现场捕获了该僵尸程序样本，并帮助该用户成功清除了该僵尸程序,这得益于该用户部署了XDS产品。在XDS产品上线之时，启明星辰安全运维专家协助用户，结合该用户IT环境特征与应用系统的逻辑特征制定了相应的应用异常检测规则，其中：WEB服务器业务流白名单是本次样本捕获的关键规则集。该WEB服务器对互联网提供某种数据服务，后台具有数据库服务器，企业内部有严格的运维规范，因此制定的业务流白名单规则包含了如下部分关键逻辑：

1）该WEB服务器仅能够被互联网终端通过80端口访问

2）新建连接必须从登陆页面开始访问

3）WEB服务器可以主动访问内部特定终端，禁止主动访问互联网

4）内部运维接口固定IP地址

5）对数据库的访问仅能通过该应用系统的标准数据库访问JDBC接口进行数据库访问。

任何违背以上规则的流量将触发告警，同时XDS产品会连续抓取5分钟的流量数据供安全运维人员分析。

2015年11月15日，该用户发现XDS产品报告了一条WEB服务器对互联网的一次主动访问事件，请求启明星辰安全运维专家协同分析该事件。现场，我们提取了XDS产品留存的5分钟流量信息并进行分析，即刻发现了明显的被控制特征--WEB服务器短时间内向特定IP发送了大量的随机报文，随后安全专家追溯了XDS产品的历史事件，还原了完整的攻击链条，并在WEB服务器某目录下找到了僵尸程序，完成了样本的提取与清除。攻击链条如下：

2015年11月15早晨，黑客利用Redis未授权漏洞，通过6379端口成功入侵了该用户的WEB服务器并植入SSH公钥。该行为触发了上述第一条XDS规则，并发生了告警。

随后，黑客通过SSH向WEB服务器传递了僵尸程序，同样该行为触发了上述第一条XDS规则并产生告警。可惜前两条告警发生时，用户并未关注安全状况，错失了防御的第一时间点。

最后黑客显然为了进行僵尸网络的功能测试，随机发起了一次小规模拒绝服务攻击，此行为触发了上述XDS第三条规则。幸运的是，此时用户注意到了本次报警并开始处理该事件，防止了WEB服务器永久的成为僵尸网络的一部分。

当前黑客的组织性比以往更强，对0DAY，NDAY漏洞的利用效率极高，通常0DAY、NDAY漏洞一旦被黑客圈掌握，在极短的时间内就会形成有效攻击，这导致了传统的入侵检测方法在漏洞刚刚被发现的一段时间内是失效的。启明星辰新推出的XDS产品基于开放式检测架构，可以快速部署与用户应用结合的安全检测规则，实现以不变应万变。该僵尸程序样本被捕获的当日，启明星辰升级了XDS产品的攻击特征库，可以实现对该样本的精确检测。

启明星辰XDS安全事件分析团队