安全圈里的“教科書”式檢測 一看就懂

發布時間 2020-08-18
隨著網絡安全的發展人們的安全意識越來越強對安全設備的要求也越來越高能夠發現威脅已經不能滿足用戶的要求需要知道威脅行為是否成功才是用戶真正想要的。


舉個栗子


某天突然接到一客戶要做實戰演練,啟明星辰安全人員緊急協調設備直奔客戶現場。


配地址、接流量……5分鐘完成上線部署。


設備運行30分鐘后,一條為“HTTP_可疑行為_PUT方法寫入文件”事件映入安全人員的視線。


檢測結果為“成功”。


1.jpg


頁面查看返回信息,發現返回信息為CREATED,說明文件已被創建。

2.jpg


立即和客戶進行溝通,確認此為客戶正常業務,需要寫入文件。憑著安全人員的專業判斷,以上發現返回信息為CREATED的問題應該是業務系統存在漏洞。


3.png


經客戶同意后進行驗證。啟明星辰安全人員開始對目標主機進行漏洞驗證,掃描發現目的主機同時開放了80和81端口,80用于頁面訪問,81用于接收上傳文件,登錄該系統的81端口,發現是原生的APACHE頁面。


4.jpg


通過代碼調用PUT方法上傳"text-align: center;">5.png


訪問服務器上傳文件的路徑,發現可以訪問并展示了文件內容,說明服務器不具備"text-align: center;">6.png


改用PHP進行嘗試。


7.png


發現已經執行了PHP語句的輸出操作,說明具備PHP的編譯環境,不法分子可以利用該漏洞上傳寫入webshell,從而實現滲透的目的。


8.png


整個過程,除了安全人員的專業能力外,離不開部署的網絡安全產品——啟明星辰天闐威脅分析一體機。


啟明星辰集團自主研發的天闐威脅分析一體機是基于下一代雙向檢測引擎能力,可提供高級威脅檢測、威脅情報應用、威脅模型分析、重點保護對象分析、網絡脆弱性分析、全流量威脅可視化等功能,為客戶提供一套集檢測、分析、可視、閉環響應為一體的本地網絡安全分析中心。


產品優勢


1、集成沙箱檢測功能,加強未知威脅檢測能力,幫助用戶發現高級威脅。


2、內置下一代檢測引擎,具備雙向檢測能力,能夠通過返回信息判斷威脅行為是否成功;支持基于會話進行網絡報文全字段提??;支持如冰蝎、CVE-2019-0708等熱點事件的雙向檢測。


3、提供多種價值場景,如弱口令、暴力破解、可疑隧道、可疑HTTPS通信等,提升有效性分析能力,輔助用戶溯源分析和威脅研判。


4、提供一體化威脅檢測分析設備,提升上線部署效率,快速發揮效果。



5、整合現有資源,可以無縫對接客戶已部署啟明星辰的IPS、IDS、防火墻、CS、FlowEye、APT等設備,降低客戶部署總成本。


啟明星辰依托自身在安全行業多年的經驗積累和技術沉淀,為適應信息安全技術發展的新趨勢,適時推出的一款威脅檢測、分析和響應的一體化產品——天闐威脅分析一體機。該產品集網絡流檢測、文件檢測和威脅分析于一體,提供專業的威脅實時監測、預警與處置,充分滿足運維人員、安全服務人員的需求。