1. <small id="rw2jk"></small>
      網絡安全 頻道

      新浪安全中心:Redis 威脅流量監聽實踐

        概要

        我們在平時的安全運維中,Redis服務對我們來說是一種比較常見的服務,相應的Redis漏洞也比較棘手,網上有很多關于Reids漏洞利用和再現的方法,如果想延伸一下這個課題,我們可以考慮如何主動的防護redis的漏洞,那怕只是監聽redis服務中,可能存在的威脅行為,先解決一部分問題?這個就是本文要給出的一個思路和解決方案。關鍵是,現在有些系統是不提供這種服務的,所以我們嘗試定制開發。

        背景

        我們在再現redis的漏洞時,用tcpdump等工具,抓取了滲透的流量,把威脅流量保存寫到pcap包中,經過分析我們發現redis的協議數據是明文的,經過截取包,我們可以看到其中的內容,所有的這些set、get、dir、config命令一般的流量中我們都可以看到,在redis密碼沒有設置的情況下。我們發現一般的防火墻也并不抓取redis的流量并解析,甚至是報警。基于我們之前的實踐,既然tcpdump能抓到,我們用pcap基礎開發包也可以抓到。

        防護策略

        既然我們可以抓取流量,就可以監聽redis的流量中的內容,先期的預想是,只要我們分析出redis攻擊行為幾個動作序列,采用行為模式匹配的方式,只要有人觸發了比較危險的幾個動作指令,我們就把這次Redis操作列為一個可疑的行為,并對這種形為的IP進行監聽日志留存,并把威脅攻擊IP相關的屬性信息,和其它設備中的威脅數據做碰撞,這一切基礎前提就是:我們可以抓取訪問者的流量(靠工具),并識別他的行為動作(靠策略)。下面我們就用工具監聽redis的set、get、config命令為例子,通過這個來展示整個流程的監聽過程。

        監聽部署

      新浪安全中心:Redis 威脅流量監聽實踐

        為了測試,我們是把某個機房的某個網段的流量,鏡像集中到另一臺服務器上, 我們集中監聽打到這臺服務上,其它的Redis的服務的流量匯總,我們通過分析這些Redis服務的操作內容,進行流量監控和行為識別,然后將監聽的威脅行為數據保存到威脅行為庫里。

        工具實施

        這個監聽系統工作模式就這樣,接下來就是我們要用工具實施我們方案,我們選用的工具還是傳統的C語言和Lua的腳本方式,用C讀取監聽6379端口是的流量數據,然后將解析出來的數據推給Lua進行模式匹配。

      新浪安全中心:Redis 威脅流量監聽實踐

        一般的攻擊行為都有一個大概的請求序列,Redis服務本身就是系統內存的一個服務器監聽程序,一般會Bind本機的IP,監聽默認的6379端口,如果Redis的對外提供服務,需要改變redis.conf的配置,打開配置文件對應把bind xxx.xxx.xxx.xxx的IP改成你本地的網卡IP,這樣在外部使用Redis訪問,才不會出現端口訪問被拒絕的情況。

      新浪安全中心:Redis 威脅流量監聽實踐

        改變IP后,我們要解決的是密碼設置問題,如果有一天某臺Redis的密碼“消失了”。 這時這臺機器可能會被威脅利用,這時就滿足了我們要設定場景,重現這種情況就要把redis.conf中的密碼去掉。

      新浪安全中心:Redis 威脅流量監聽實踐

      新浪安全中心:Redis 威脅流量監聽實踐

        這種啟動方式,是不能滲透成功的,我們要用下面的方式進行redis的服務啟動,進入root然后輸入:

      新浪安全中心:Redis 威脅流量監聽實踐

        如果我們想簡單的用Tcpdump截取Redis數據包,我們可以用下面的命令:

      新浪安全中心:Redis 威脅流量監聽實踐

        我們可以一邊滲透Redis,一邊記錄這次滲透過程中,攻擊指令的序列數據。 下面就是用我們要用的工具,用于監聽和解析Redis的流量數據的數據:https://github.com/shengnoah/riff

        我們下載這個pcap監聽的工具包,我們默認的工作平臺是: make linux

        因為,這個工具在linux上使用,用C實現,嵌入了Lua腳本插件化的處理,來獲取監聽接口的數據,本文中提的是對6379接口的監聽。我們在完成編譯動作后,需要改一個config.lua的配置。

        打開config.lua, 修改return的返回值,告訴C主進程,我們讓Pcap監聽本機的6389端口,以下。

      新浪安全中心:Redis 威脅流量監聽實踐

        需要注意的是watch.c的代碼,以下

      新浪安全中心:Redis 威脅流量監聽實踐

        getPacket()這個函數,主體功還是把數據推給lua,基本的邏輯就是這么簡單,關鍵就是這個有個入口buffer.lua,我們記著這個時序的入口就行,便于以后面的邏輯的理解清楚。 從buffer.lua這個執行序開始后,邏輯都交給lua來處理了,具體lua怎么處理,要自己根據自己定制的規則情況寫處理邏輯。

      新浪安全中心:Redis 威脅流量監聽實踐

        Lua代碼一直運行在pcap的循環內,采用的是插件機制,我們加一個處理,就相當于要加一個插件。插件模板的代碼都是類似的,我們看一個其它的就看懂了,其它相關腳手架的代碼不介紹了:

      新浪安全中心:Redis 威脅流量監聽實踐

      新浪安全中心:Redis 威脅流量監聽實踐

        用lua寫代碼,是為了降低策略實現部分的代碼復雜度,最關鍵的函數filter_plugin.action(),這里的stream.data就是吐到6369上的所有數據,包括Redis相關的執行的get、set、config等請求都會在這個變量里中的所體現。我們先打開redis-cli的客戶端,發送一個set指令看看,看我們的程序是否可能監聽到。

      新浪安全中心:Redis 威脅流量監聽實踐

        我們啟動這個基于pcap庫的監聽程序,畫紅色圓的地方就是,pcap主循環推給lua腳本的數據。

        “set a www.candylab.net”的整個指令的數據內容都在。

      新浪安全中心:Redis 威脅流量監聽實踐

        總結

        到此我們完成了整個監控程序的執行周期,通過這個工具,所有經過6379端口的數據我們都可以取得到,至于客官們想針對什么樣的的reids攻擊,寫出對應的策略,編寫lua插件邏輯就可以了。本身lua的代碼實現就不復雜,提供的數據結構操作類似字符串序列這種數據也很方便,代碼可以到github上直接下載,如何變動,具體就看各自的需求和各自的策略設計了。簡單說,剩下的工作就是用lua寫攻擊模式的甄別。

      0
      相關文章
        影视站,婷婷亚洲,色谷,老司机电影院