首頁 > 關于我們 > 新聞動態 > 產品動態

溯源利器啟明星辰NFT

發布時間 2022-11-11

今兒雙十一

安全界什么樣的產品可以“閉眼入”?

那當然少不了啟明星辰NFT


憑什么它成為口碑爆品

備受信賴且經久不衰、回購無數?

要想知道它的秘密
請一起看下面這個場景案例吧~


警鈴大作 


2022年7月的某一天,蟋蟀鳴,晚風靜,國家級攻防演練正如火如荼地進行著。


監控大屏上,“117.xx.xx.xxx疑似存在Webshell內存馬通信行為”的告警突然浮現。一線安服工程師小偉警覺起來,根據與資產上Webshell通信的入侵者IP繼續跟進,發現其與資產Web應用服務器的交互流量中有“dir”命令執行回顯結果。小偉頓感大事不妙,基本確認資產失陷,請求處置響應組立即封禁任何IP地址對該資產/xxx/xx路由的訪問,并急忙呼叫后方支援。


初步溯源


入侵動作的及時發現只是攻防對抗的開始,對入侵動作的及時阻斷也不是對抗的終點,只有對入侵動作的完整溯源分析才是對抗中防守方能力的彰顯。


話不多說,立刻動手!


根據小偉描述,該失陷資產117.xx.xx.xxx運行著客戶OA系統,現場溯源分析組發現OA的sysadmin賬號19時58分登錄IP異常,在全流量分析取證系統(簡稱NFT)中向前檢索該IP的流量時,找到了入侵者在19時50分將sysadmin的密碼修改為“XXXXXXX”后登錄系統。緊接著,小偉使用NFT再向前排查發現入侵者對目標資產進行了SQL注入入侵。



但是看失陷資產117.xx.xx.xxx相關的入侵告警均為入侵失敗事件,小偉奇怪起來了,怎么可能都是入侵失敗但資產卻失陷了呢,這極大可能是0day??!


帶著一系列疑問,小偉急忙找到二線支撐的安服工程師小卓,看看能不能利用NFT發現更多未知線索。


刨根究底


0day漏洞第一彈: 未授權獲取session key


從一線小偉反饋的SQL注入漏洞利用信息可知,該SQL注入接口是需要認證的。利用NFT回溯發現入侵payload中附有合法session key,這明顯有悖常理。二線小卓便利用NFT繼續向前溯源,發現原來入侵者利用該系統的一個信息泄露漏洞獲取了session key。



入侵者通過GET請求URL“/xxxx/public."text-align: center;">


入侵者于2022.7.28 21:02:45 修改sysadmin密碼



入侵者于同日21:03分利用sysadmin賬號登錄OA系統


0day漏洞第三彈: 任意文件上傳漏洞


“能登陸了,再結合一個文件上傳漏洞不就OK了?”“沒錯,所以接下來的重點就是在sysadmin賬號登陸后的流量里面找找有沒有文件上傳吧?!薄皝?,開干!”


在小偉和小卓的通力配合下,最終通過NFT檢索發現入侵者最早于21:05分嘗試上傳Webshell,后續嘗試入侵上傳6次,其中3次成功。





入侵者于當日22:05分上傳魔改的冰蝎服務端




入侵者于當日22:14分上傳的oaGet."text-align: center;">


當晚22:17:58小馬執行命令成功


真相大白


至此,真相大白。入侵者從信息泄露拿到session key、授權sql注入查詢用戶,繼而修改用戶sysadmin密碼登錄,再到文件上傳0day上傳壓縮文件,自解壓得到魔改Webshell及內存馬。通過3個0day漏洞的一連串操作,最終獲得了系統權限。




一切的入侵動作盡收在全流量NFT產品視角下,這也為全威脅發現和及時處置響應打下了堅實的基礎。


后續,小卓聯系前場對木馬進行了清理和取證,給出相應的系統漏洞修復建議。同時,也將此次溯源過程中發現的0day漏洞上報給了國家有關部門。



啟明星辰全流量分析取證系統(NFT)是基于網絡全流量存儲的攻擊取證溯源產品,具備攻擊取證溯源、未知威脅狩獵和加密攻擊流量檢測等多種安全能力,在全流量存儲的基礎上提供全量數據的快速取證檢索,解決威脅取證和溯源難題。


NFT產品還內置多種分析模型,通過還原歷史流量真實場景,實現精準無爭議的已知和未知威脅的調查取證和溯源工作,有效應對0day等隱蔽性較強的新型入侵,極大地提高用戶的網絡安全運營效率。目前,該產品已在政府、公檢法、運營商、金融、電力等重要行業部署使用,得到了用戶的高度認可與青睞。

啟明星辰根植于自主創新的技術基因,結合豐富深厚的實戰經驗,不斷革新安全產品形態,升級完善安全解決方案,賦能用戶在數字經濟時代建立網絡防御體系。作為網絡安全行業領軍企業,啟明星辰將為“護航數字中國  領航信息安全 ” 繼續努力、勤耕不輟。


上一篇 下一篇