“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应( 三 )

告警包括源IP、目的IP、受害者资产、次数、类型、威胁等级以及时间等 , 通过点击详情可以看到更丰富的详细信息 。


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----

除五元组的信息外 , 也展示了攻击载荷的详细数据 , 可以清晰的看到payload内容 , 攻击载荷有时也能了解到黑客的攻击意图 , 可以帮助安全团队更有针对性地进行排查 。 以上图的攻击为例 , 可以看到攻击载荷是存在于http头中:

/public/index.php?s=/index/\think\app/invokefunctionfunction=call_user_func_arrayvars[0]=systemvars[1][]=echo ^?php $action = $_GET['xcmd'];system($action);?^hydra.php

通过载荷数据看到 , 黑客是利用ThinkPHP 5.x远程命令执行漏洞来攻击客户资产的 。 该漏洞的产生是由于程序未对控制器进行过滤 , 导致攻击者可以通过引入‘\’符号来调用任意类方法执行命令 。 而黑客想要执行的命令是:

echo ^?php $action = $_GET['xcmd'];system($action);?^hydra.php

如果漏洞利用成功 , 此条命令会释放一个webshell一句话木马到服务器 , 并命名为hydra.php , 黑客可以借助webshell小马 , 上传大马 , 从而进行更多的内网渗透工作 , 对内网造成更严重的危害 。

安全运维人员可以根据详情页中的处置建议进行一些排查和处置 。 例如通过ACL策略封禁源IP , 阻断其进一步的攻击 。 同时可以在安全事件页中查看该资产是否存在该漏洞 , 以及webshell木马是否已经落地 。 及时有效的安全排查 , 可以很大程度上降低安全事件的危害 。

网络安全事件同时提供了攻击者画像与受害者画像 。 基于历史的数据 , 对攻击者近期发起的网络威胁进行汇总 , 关联是否还有其他的攻击手段 , 帮助客户更全方位的了解攻击者 。 下图展示的就是攻击者画像 。


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----


“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应

----“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应//----