失陷云服务器安全监控研究.docVIP

失陷云服务器安全监控研究 　　摘 要：云计算环境下，云租户的安全边界已经回到云服务器自身，快速发现失陷云服务器是云租户最后的安全防线。在分析云服务器失陷特征的基础上，提出了云服务器入侵监控的实现框架，为快速识别失陷云服务器提供解决方案。 　　关键词：失陷云服务器；失陷云主机；入侵监控；入侵感知 　　DOIDOI：10.11907/rjdk.162395 　　中图分类号：TP309 　　文献标识码：A 文章编号文章编号2016）011018103 　　0 引言 　　云服务器是IaaS服务提供商基于虚拟化技术虚拟化出来的Guest OS（也称“虚拟机”），具有简单高效、处理能力可以弹性伸缩的特点。云服务器采用通用的操作系统（Windows、Linux）、数据库等系统软件，运行用户业务应用软件。在服务器方面存在的安全风险问题与传统安全风险是一样的。在IaaS环境下，云服务器的操作系统、运行环境以及应用软件的安全性由云服务器的用户自行负责（参见国标GB/T 31168-2014）[1]。从某种意义上讲，云服务器的安全边界已经转移到云服务器自身了。 　　在互联网中，服务器存储着大量有价值的信息资源，黑客怀着非法控制、窃取数据、驻留后门等目的，入侵互联网服务器系统。在传统业务向云计算迁移后，云服务器自然也成了黑客攻击的首要目标。据国家互联网应急中心（CNCERT）发布的2015年中国互联网网络安全报告[2]显示，2015年，被黑客控制的僵尸服务器IP地址为10万余个，境内7.5万个网站被植入后门，境内被篡改的网站数量为24 550个。 　　近年来爆发的各种安全事件证明，黑客攻击对象已经从传统的捏软柿子模式转变为针对性攻击，攻击手段从传统的已知漏洞攻击转变为复杂的高级威胁，甚至采用0 Day漏洞进行攻击。而地下黑色产业链所蕴藏的巨大经济利益使攻击目标从早期的技术炫耀转变为利益驱动，攻击者也从个体走向有组织的黑客团体。 　　面对利益驱动的黑客针对云服务器的攻击，可按照P2DR（策略-防护-监测-响应）安全模型[3]开展安全防御，如图1所示。本文着重研究云服务器安全监测环节，分析如何发现云服务器被入侵的痕迹，及时采取应急处置措施，将损失降低到最小。 　　1 云服务器失陷过程 　　为了研究云服务器被黑客入侵的痕迹，首先必须了解黑客入侵的过程，黑客针对云服务器的攻击由多个阶段组成。美国军工巨头洛克希德?马丁（Lockheed Martin）公司提出了一个叫“Cyber Kill Chain”（CKC，网络攻击链）[3]的模型，该模型将入侵者对网络的攻击分为7个阶段，如图2所示。 　　失陷云服务器指被攻击者成功入侵的云服务器，在主机安全这个层次上，失陷云服务器与传统服务器并无本质区别，本文的结论也适合于传统服务器。网络攻击链模型的7个阶段如下： 　　（1）目标探测（Reconnaissance）。攻击者明确攻击对象后，通常会从3方面对攻击目标进行探测：①从社会工程学等角度收集被攻击对象的人员信息、防御措施；②从互联网域名注册、有哪些信誉好的足球投注网站引擎、端口扫描等角度收集被入侵对象（IP）的信息；③从开放端口和服务进一步发现可攻击的弱点，如Web应用漏洞、系统漏洞等。 　　（2）准备武器（Weaponization）。基于对攻击目标的探测结果，利用已知漏洞或编写针对目标现有漏洞的恶意代码，并进行绕过防御措施的测试，保障攻击代码能够对杀毒软件免杀或绕过其它防护手段。云服务器（或传统服务器）的漏洞主要分为3个层次：应用软件漏洞（Web应用）、运行环境漏洞（Apache、IIS、PHP等）以及系统级漏洞（Windows、Linux）。 　　（3）投放武器（Delivery）。攻击者攻击云服务器可能采用正面利用漏洞进行攻击，正面攻击无效可能采用从维护人员入手等手段进行侧面攻击。维护人员的攻击可以通过钓鱼邮件、钓鱼网页以及USB感染的方式发起鱼叉式攻击，导致维护人员电脑植入事前准备好的恶意代码，进一步感染云服务器。 　　（4）漏洞利用（Exploit）。恶意代码成功植入云服务器，获得初步权限，进一步利用系统其它漏洞（如嗅探、口令破解、第三方软件、数据库系统漏洞等）提升自身权限，最终获得管理员控制权。 　　（5）安装后门（Installation）。获得系统高级权限后，黑客通常会进一步上传各类工具，修改系统账号、放置后门木马来达到其入侵和控制的目标。 　　（6）命令控制（Command Control）。恶意软件在云服务器启动后，将与攻击者在远端部署的命令与控制（CC）服务器主动建立连接，接收来自CC服务器发送的控制命令。 　　（7）执行行动（Actions）。攻击者通过CC服务器控制云服务器发起进一步的恶意行