云安全专家
TA的个人档案
个人介绍
阿里云安全
擅长的技术
- Java
- Linux
- 数据库
- 高分内容
- 最新动态
- 文章
- 问答
-
发表了文章 2021-02-03
黑灰产攻击洪峰来袭,企业如何守住自己的钱袋子?
根据阿里云历史行业风险治理相关数据显示,未经风险管控的自然流量中,约三分之一比例属于疑似黑灰产的高风险行为;而在建立合理的风控指标监控体系并采取风险防控手段后,高风险用户比例下降至3%以内,下降比率超过90%。有效的风险防控方案是保障各类营销、促活拉新等活动效果的必要手段。随着春节临近,部分互联网行业迎来业务高峰,企业为了争夺用户流量将投入大量获客、营销资源,但同时也将面临风控大考。由于各行业、企业的业务场景及逻辑多种多样,黑灰产需要借助工具才能实现团伙作案。阿里云安全团队梳理了近年来主流的被黑灰产使用的作案工具,并分析其作案原理及攻击手法,为企业提升防控精准度和防控效率提供参考。云 手 机云手机即一台运行在云端服务器的虚拟手机,具备云计算赋予的超大规模、弹性扩容、成本低等优势,经常被用于移动办公、AIoT、工业互联网等场景。然而,这些创新的技术工具也被黑灰产瞄上,用在了攻击套利方面。传统风险治理主要通过设备指纹等技术手段进行风控管理,因此黑灰产需要购买多台真机才能完成作案。但借助云手机,黑灰产只需要一个云手机厂商账号就可以同时开启大量新机批量套利,作案成本大大降低。此外,黑灰产可以将云手机虚拟成各类实体手机的品牌型号作案,企业风控人员如果对云手机没有足够的认知,很难将作弊类的云手机设备与正常云手机用户区分开,风险识别挑战增加。常见套利场景薅羊毛:黑灰产利用云手机实现低成本设备群控,再使用脚本工具进行批量注册、养号,恶意攻击或者寻找企业营销活动漏洞,囤积平台权益,进行倒卖套利。游戏打金:黑灰产注册大量游戏账号,借助云手机安装作弊应用来养号,以获得高价值游戏装备,然后通过特定交易渠道卖出,实现套利。攻防原理黑灰产可以通过云手机实现设备群控,从而完成大量虚假账号的注册、登录及活跃养号,然后根据不同行业业务特性实现套利,具有批量、自动化操作等风险特征。针对这一情况,企业可以基于业务场景、风险画像标签搭建合理的业务指标监控体系,从而及时感知风险异动。比如:针对监控指标进行时序分析、操作行为聚类分析、团伙发现分析等,有效发现黑灰产风险行为。改 机 工 具改机,即把设备固有的硬件信息、软件信息、传感器信息,如:IMEI、IMSI、系统版本、内核版本、GPS、陀螺仪等,修改成用户自定义的信息,以此来骗过大多数APP的信息采集功能。黑灰产团伙利用改机工具能够产生新的设备指纹,以此来绕过单设备无法注册多账号的限制,实现批量账号的注册、登录、养号,为后续攻击套利提供物料。常见套利场景薅羊毛:比如黑灰产可以利用改机工具修改设备信息,伪装成为“新用户”,用来躲避平台对有过“案底”的黑设备检测,或是刷取一些对领取账号资质有要求的高价值权益,进行套利。营销推广作弊:黑灰产通过改机工具不断刷新设备指纹,绕过平台风控规则,批量注册小号,并进行广告点击、刷单、刷赞等作弊操作,消耗商家营销推广资源。攻防原理互联网营销活动中,大多数企业会通过限制设备参与活动次数来防止黑灰产批量薅羊毛;在遭遇攻击后,则通过建立设备“黑名单”来防止风险行为再次发生。而黑灰产通过改机工具,可以绕过上述限制,进行套利。· 改机工具无法做到和官方手机完全一致,因此通过建立主流机型设备参数库进行设备参数比对,便能发现黑灰产作案的蛛丝马迹;· 市面上的改机工具一般是基于特定框架实现的,如:Xposed;因此通过检测Xposed、注入模块、系统文件等方法,能及时发现设备是否存在改机行为;· 通过对设备参数进行合法性校验也可以在一定程度上发现改机行为。改机工具界面应 用 多 开由于系统限制,同一软件在一个手机上只能安装一个。“应用多开”就是突破这类系统限制,实现在一部手机上同一应用安装多个,从而实现多账号自由切换黑灰产不仅可以利用“应用多开”养号,更严重的是多开工具能截获目标APP的网络流量,从而实现监听网络包、截取登陆账号密码、窥探IM软件聊天记录,导致正常用户信息被第三方多开应用滥用于黑灰产活动。利用多开工具实现同一手机安装多个相同应用常见套利场景“杀猪盘”社交应用多账号操作:“杀猪盘”指诈骗分子利用网络交友,诱导受害人投资赌博的一种电信诈骗方式。黑灰产团伙使用多开软件等工具可以做到广撒网,实现1对N的消息发送,提高作案效率。虚假推广刷量:黑灰产借助多开工具刷量,消耗用于拉新或促活活动中的投放资源,影响活动转化效果,给企业带来资损。恶意引流:黑灰产通过批量应用分身,实现批量登录、操控账户,大量发送“牛皮藓”消息进行恶意引流。攻防原理目前市面上被黑灰产利用的多开软件多种多样,其中手机版虚拟机是行业中较新的一种作弊方案。手机版虚拟机多开方案借鉴了qemu的实现原理,使用原生系统的Linux内核,在自己的APP内部搭建了一个新系统的rootfs。此类工具是近期最新出现的移动端虚拟机,可在Android手机上模拟出来另外一个独立的Android系统,并且自带各种作弊插件。恶意多开应用常见于同设备操作,因此通过终端风险检测及服务端基于设备、操作环境、团伙聚类等方式可及时发现恶意多开行为。虚 拟 定 位虚拟定位即在获取到高权限的手机上从底层修改系统GPS采集的位置信息,欺骗手机APP获取恶意伪装的假GPS数据。常见攻击场景网约车刷单:针对网约车业务场景,利用虚拟定位工具模拟行驶,实现刷单,套取平台垫付金及奖励。社交App虚拟定位诈骗:修改定位后以虚拟地址在社交应用上进行色情类诈骗。商家信息爬取:修改定位后自动爬取附近商家的商品、价格等信息,售卖得利,常见于恶意市场竞争。攻防原理拦截API,接口获取设备位置信息使用规则文件替换位置数据绕开系统对作弊插件的检测,达到插件隐身的目的。掌握了虚拟定位工具的实现原理,可以结合业务场景进行更有针对性地风险检测及防护。阿里云安全专家支招业务风险防控1. 完善业务设计,提高作案门槛针对有可能存在资损的活动与业务流程:适当提升用户参与门槛,如限定同设备、手机号参与活动的最高次数,以防止黑灰产“薅羊毛”;增加核销规则,如:对现金券类的高价值权益的兑现使用进行账户资质、行为达标等多条件强校验。2. 主动监测风险异动,分层治理通过主动监测活动营销资源核销比例及速率,结合账户行为、设备风险情况,主动进行实时与近实时的异动监控。对于捕捉到的异常事件进行量化评估,根据对业务的影响程度做不同处理,对具有潜在资损的活动权益进行合理的分层挽回与止损。3. 与专业风控团队合作目前市面上的黑灰产作案工具、作案手法层出不穷。企业自建风控团队通常耗时会超过半年,而大多数业务风险问题从产生到爆发的时间都很短,几小时就足以造成巨额损失。因此与专业的风控团队建立合作可以有效弥补企业自身的能力短板,同时节约自研成本。值得一提的是,业务风控是高度依赖实战经验的领域。阿里云业务风控团队在阿里巴巴集团自身十余年的风险管控过程中积累了丰富的最佳实践,结合大数据、流式计算、机器学习算法等创新技术,可以为企业提全链路跨风险场景的“端+云”的联防风控方案。
-
发表了文章 2021-02-03
云安全威胁管理 | 解密新型 SQL Server 无文件持久化恶意程序
近期,阿里云云安全中心基于全新的深度威胁检测功能,监测到云上部分用户的 SQL Server 数据库内部隐藏着一种新型的持久化后门程序。攻击者利用弱口令不严谨配置,以非常简单的攻击方法进入数据库,即可植入该后门,更致命的是,该后门高度隐蔽和持久化控制的特性,让发现和清除变得困难。威 胁 特 点植入简单利用数据库弱密码或不严谨配置,攻击者只需简单的弱口令利用,即可轻松登录进用户的数据库植入该后门程序;高度隐蔽该后门完全隐藏在SQL Server数据库进程内部,无文件落地、无额外进程,运维管理人员很难定位到后门真正所在;持久化控制该恶意后门持续不断地向云主机内部植入挖矿病毒等其他恶意程序,使管理员陷入病毒杀不完、怀疑有漏洞的困境;查杀困难简单的弱口令漏洞修复和已有恶意文件查杀根本无法实现对恶意程序来源的清除,即使重启数据库服务、甚至重启云主机,由于真正的隐藏后门没有完全清除,还是会有病毒源源不断的被植入主机。攻 击 流 程攻击者利用某些应用程序供应商的数据库默认密码及不严谨配置入侵SQL Server数据库;在登入数据库后,创建SQL Server代理作业周期性执行SQL语句调用恶意的用户自定义函数;用一种特殊的方式将恶意代码以CLR程序集的形式加载进数据库,实现通过用户自定义函数调用恶意的CLR程序集;已创建的SQL Server代理作业自动周期性的调用恶意CLR程序集,实现恶意代码持久化。威 胁 分 析传统的持久化技术、恶意代码加载方式早已被所有主机安全产品列为重点监控范围,很容易被发现并清除掉:· 利用操作系统内置的计划任务、系统服务、自启动项等方式进行持久化;· 直接在磁盘上放置恶意程序文件;· 利用系统内置的工具程序加载恶意代码到内存中执行。不同的是,此次新型恶意程序将两种SQL Server内置功能巧妙结合用于恶意软件持久化,实现了在无文件落地、无额外进程的情况下保持对云主机的持久化控制,将恶意活动完全隐藏在用户正常业务所需要的SQL Server数据库进程内部。那么,这一恶意程序是怎么做到的呢? 利用代理作业实现无异常周期性循环执行SQL Server代理作业原本的用途是方便用户进行数据库运维,通过设置执行计划和执行步骤来实现周期性的执行脚本程序或SQL语句。以往会利用此功能的攻击者或恶意软件会直接用代理作业执行一段恶意命令或恶意脚本,极易被运维管理员发现。但是该后门的实施者,在创建代理作业后,仅执行了一句很短的SQL语句,将后门隐藏在另一个用户自定义函数SqlManagement背后,隐蔽性很强。代理作业 作业名称 : syspolicy_sqlmanagement_history 执行计划名称 : schedule_sqlmanagement 执行步骤名称 : sqlmanagement 执行步骤内容 : select dbo.SqlManagement(0)利用CLR程序集实现高隐蔽性代理作业中的SQL语句要执行的恶意的用户自定义函数SqlManagement,背后对应的是一个CLR程序集 Microsft.SqlServer.Management。该功能原本用途是方便高级数据库管理员扩展数据库功能,攻击者利用该技术可以实现在SQL中调用自定义的恶意C#程序。以往植入新的CLR程序集需要先将恶意程序写入磁盘,很容易被杀毒软件发现,攻击者使用了一种特殊的写入方式,直接使用SQL写入C#程序的16进制流,将程序加载到数据库中。结合SQL Server 代理作业功能,即可实现在数据库进程内部持久化周期执行恶意的C#程序。使用SQL将C#恶意程序直接载入数据库示例:CREATE ASSEMBLY [Microsft.SqlServer.Management] AUTHORIZATION [dbo] FROM 0x4D5A90000300000004000000FFFF0000B800000000000000400000000000000000000000000000000000000000000000000000000000000000000000800000000E1FBA0E00B409CD21B8014CCD21546869732070726F6772616D2063616E6E6F742062652072756E20696E20444F53206D6F64652E0D0D0A2400000000000000504500004C010300777C565F0000000000000000E00022200B013000001E00000006000000000000 (后续省略)还原出的反编译的CLR程序集进行分析,发现核心功能是从用户自定义函数 SqlManagement 开始,最终调用至SendAndReceiveFromServerBuffer 函数从vihansoft.ir周期性下载恶意程序并执行,执行流程全部隐藏在SQL Server应用内,安全运维人员难以发现。恶意后门检测与清理阿里云安全中心用户,只需进行简单配置,即可实现对新型SQLServer无文件持久化恶意程序的深度检测、发现、溯源和清理。1. 云环境深度威胁检测技术针对云上主流应用进行深度检测,尤其是针对Microsoft SQL Server等常见应用,云安全中心可以深入应用内部,在不打扰应用运行的情况下,对潜在的风险项进行扫描,无感发现无文件、无额外进程的高度隐蔽恶意程序,识别该后门的恶意域名。2. 自动化威胁溯源云安全中心后台系统基于多种主机进程行为分析,通过异构数据关联、图引擎计算、恶意行为模式聚类等方式,层层推进还原出原始触发点或根据聚类分析结果进行推理还原,自动化追溯威胁源头。3. 一点检测全网联动防御威胁源头信息共享在全网的“检测模式”类威胁情报网络中,只要在一台主机上确认该后门特征,其他主机在扫描时也能快速识别该后门程序。同时发现该后门曾经植入的后续其他恶意文件。4. 一键深度清理针对此类特殊后门,云安全中心支持一键清理,可以深入到SQL Server应用内部,精准处理掉该后门程序。拓展安全建议此次发现的新型持久化恶意程序,攻击者主要针对云上SQL Server服务发动攻击,除了常规的弱口令爆破外,入侵者还会尝试某些应用服务供应商的数据库初始化口令。用户不单单需要关注自身管理数据库服务是否存在弱口令,还需警惕应用服务供应商的默认口令被入侵,做好日常安全基线检查与安全加固,防患于未然。
-
发表了文章 2021-02-02
阿里云WAF爬虫风险管理升级,定义高效业务安全
————————验证 “人是人”数据爬取、秒杀、盗号、薅羊毛、刷票、灌水、垃圾注册、虚假投票、虚假点击、虚假下单……相信你对各类验证码并不陌生,在访问网站或应用时,我们常要证明自己不是机器。————————为了更好帮助云上用户规避此类业务安全风险,1月27日,阿里云Web应用防火墙(WAF)爬虫风险管理功能升级,一方面通过算法升级提升防护效果,另一方面通过向导式操作指引降低运维负担,帮助用户快速打造适合自身业务特点的智能防爬系统。阿里云WAF爬虫风险管理功能覆盖网页、H5、原生APP、API、公众号、小程序等全场景Web应用防护,支持公共云反向代理接入、ECS/SLB一键透明接入、混合云/多云部署、独享集群部署、CDN一键开启等多种接入方式。阿里云用户可在WAF控制台中选择对抗策略,识别并管控Bot流量。核心能力升级,好用、易用的防爬工具在阿里云安全团队的长期观察中,爬虫这类代替或模拟人类用户自动化、快速、大批量执行特定任务的自动化程序,背后有着明确的变现思路与产业链分工,已具备明显的趋利性与强对抗特征,开始走向专业化与产业化,防护难度日趋增高。因此,在进行防控时识别维度的丰富性和处置方式的灵活性是核心能力。同时,由于防爬多数时候是个持续对抗的过程,在针对不同场景的防控方案上,专家经验非常重要。面对长期实践中总结的用户痛点,阿里云爬虫风险管理做了智能算法和用户体验两个维度的针对性升级,将防爬功能做到真正好用、易用。智能算法提升防护能力机器学习和深度学习构建了阿里云通用、智能的AI安全防护模型体系。应用神经网络构造多模态特征表示,基于5大类9000+行为和环境指纹特征,对用户流量进行多维度刻画、分析,通过意图分析智能引擎区分正常流量和恶意流量,并且根据场景特征自动生成防护策略。实时和离线双联路联合决策方案,通过持续学习和模型优化缓解防爬场景对抗问题。实时检测模型对线上流量进行实时刻画,离线模型进行“增量学习”,时刻保留模型重要特征,当对抗发生时能通过自动更新模型策略进行变异风险的自主对抗。用户视角改进产品体验场景化防护,专注业务风险根据下单、注册、登录、查票等场景定义防护目标,推荐防护策略;基于页面与接口展示防控效果,可视化呈现机器流量比例与拦截分析。向导式配置,快速Get最佳实践分步进行场景定义、策略配置、防护效果验证,搭配灵活的自定义策略,轻松构建专家级防护。灰度验证机制,远离变更故障策略正式发布前提供防护效果灰度验证,无需担心因策略配置不当、防护兼容性问题等原因导致的大规模误拦截。实战场景验证,显著提升业务安全水平阿里云WAF爬虫风险管理,帮助用户解决细粒度、丰富场景下的业务安全问题。《The Forrester New WaveTM : Bot Management, Q1 2020》报告中,阿里云安全作为唯一中国厂商入选,防爬能力获得认可。1. 大量、复杂的API数据接口处置某航空公司以XHR数据接口提供航班查询服务,长期以来遭受黑灰产及各种旅行公司爬取。之前的安全管理,为了减少正常业务流量误伤采用宽松策略,存在大量漏防。阿里云WAF的JS无感人机识别,在不产生任何客户投诉和业务影响的情况下,漏防流量较原本方案降低了99%。采集网页环境中的操作行为、设备硬件、指纹等特征,防爬策略判断请求是否来自于自动化工具,并实现XHR接口的浏览器校验、验证码等验证手段,过滤约70%的攻击流量,并对剩余30%的攻击流量使用Browser Driver识别,通过验证码方式的唤醒行为进行拦截。2. 自动化算法模型某招聘网站的候选人简历与岗位信息厂商被各种猎头机构与竞品爬取。面临对精心构造的低频、离散IP,单一规则防护易被绕过。阿里云WAF对客户相关数据接口上的所有流量进行Bot属性打标,并根据不同访问特征进行UBA(User Behavior Analytics)建模。在部署完成后的十数次攻防对抗中,模型均能自动化监控并快速学习攻击流量特征,针对攻击流量唤起处置,无需客户与运营介入。3.SDK接入APP环境某交易网站以APP作为主要用户访问平台,低价商品常在上线瞬间被恶意秒杀。为了逃避检测机制,攻击者采用真机攻击,通过改机框架与ADB远控等方式,利用脚本操作手机进行恶意行为,识别难度大。集成爬虫风险管理SDK后,阿里云WAF直接在流量层面针对各种异常的设备访问方式(如Root、Debugger、进程注入、改机Hook等)进行识别和拦截,多维度刻画过滤,恶意秒杀的情况被遏制。**4. 非对抗解决方案**某金融网站信息常被第三方网站爬取,并在数据加工后提供售卖。由于客户本身的业务系统复杂,以及面向金融类敏感信息的高强度攻防对抗,直接拦截的方式并不是最优解。阿里云WAF采用了异步处置回源打标的方式,在网关层标记异常流量,并对被打标的请求返回虚假数据,以此干扰了第三方网站的数据准确性,与客户的风控能力耦合,为业务安全赋能。————————好的爬虫风险管理工具应当好用、易用,且体现运维价值。阿里云安全团队致力于打造一套尽可能灵活的工具,帮助用户跳过繁琐的实现细节,同时利用云上海量的数据和计算能力、弹性扩容能力以及威胁情报,实现最适合自身业务特点的防爬能力构建。
-
发表了文章 2021-02-02
数据脱敏不再难,阿里云数据安全中心帮您轻松搞定!
2021年1月28日,阿里云正式发布数据安全中心,在整合敏感数据保护(SDDP)等产品能力基础上,为客户提供全域一体标准化的云上数据安全防护服务。数据安全中心防护能力涵盖非结构化、半结构化及结构化等不同类型数据,尤其在数据加密和脱敏领域,面向全体云上开发者,提供了便捷,灵活,标准化的能力支持。数据安全中心能力概述2020年中发布的《个人信息保护法》草案中,对数据匿名化和去标识化提出了明确要求,但在落地过程中,由于应用开发与数据使用场景的复杂多样,通常很难形成标准化的脱敏防护体系。阿里云数据安全中心通过多年的内部沉淀,为广大云上开发者提供了丰富的数据匿名化和去标识化算法,可以根据实际业务场景灵活选择,自定义参数,做到个性化数据脱敏。数据脱敏效果示例小知识 · 动态脱敏 典型场景:主要用于直接访问生产数据的数据脱敏使用场景,例如前端页面展示或应用使用数据的过程中进行脱敏。 适合人员:应用与数据开发人员,通过开发和应用接口实现数据防护。 关于数据安全中心提供的动态脱敏能力,可以参考以下文档: https://help.aliyun.com/document_detail/173158.html · 静态脱敏 典型场景:主要用于将数据抽离生产环境并进行分发和共享的场景,例如生产环境向开发测试环境的数据脱敏导出。 适合人员:数据库与数据安全管理者,定期实现数据防护。 关于数据安全中心提供的静态脱敏能力,可以参考以下文档: https://help.aliyun.com/document_detail/124295.html 数据脱敏方式比较示例数据安全中心提供了自定义脱敏模板:企业应用开发人员可以通过自定义算法模板,以API形式调用云端脱敏接口,在应用层面实现敏感数据的自动化敏感度降级处理,大大提升应用可扩展性和算法的可维护性。有关自适应脱敏模板的介绍,可以参考以下文档:https://help.aliyun.com/document_detail/155870.html企业开发人员可以通过自适应的脱敏模板,完成各类不同场景的数据脱敏分发,例如定期从生产环境向开发测试环境脱敏,不同数据类型(如OSS中的csv向RDS的数据表)之间的异构脱敏,数据库层面的原库/原表脱敏等等。脱敏场景举例:在页面展示时进行个人身份证号和手机号的脱敏描述:通过数据安全中心提供的SDK与API实现敏感数据的动态脱敏。步骤1:明确需要脱敏的数据。对于常规的页面展示服务,一般会通过【Web页面-应用-数据库】的访问形式进行数据流的传输,动态脱敏无需更改数据库底层数据,而是在应用中内嵌SDK,调用云端API,实现敏感数据的脱敏。本例中需要脱敏的字段为身份证号码和手机号码,存放数据的数据表列名分别为:【身份证号码】 - 列名【person id】【手机号码】 - 列名【phone number】步骤2:确定需要的脱敏算法。一般对于敏感数据,都有相对比较通用的脱敏算法可供使用,本例中主要使用遮盖算法进行脱敏处理:【身份证号码】:一般为18位数据,展示时一般仅展示最后6位,其余通过*进行遮盖。例如:123456算法选择:【遮盖脱敏】-【保留自x至y】-【x=13,y=18】【手机号码】:国内一般为11位数字,通常会保留前三位和后四位,其余通过*进行遮盖。例如:138**1234算法选择:【遮盖脱敏】-【遮盖自x至y】-【x=4,y=7】使用哪种脱敏算法,一般需要根据实际业务场景进行选择:对于无需还原和二次处理的数据,一般使用匿名化方式,如遮盖、哈希、取整等;对于需要二次处理的数据,一般使用混淆,随机替换,加密等方式进行处理。阿里云数据安全中心目前提供了多达30种脱敏算法,供开发者在各种场合根据业务需要进行选择和使用。相关算法可以参考:https://help.aliyun.com/document_detail/125498.html步骤3:配置脱敏模板。(前提:需要通过阿里云账号开通阿里云数据安全中心服务)记录下应用连接数据库过程中数据表中存放敏感数据的表字段名称。例如:身份证列名:【person id】;手机号:【phone number】在数据安全中心控制台选择新建一个脱敏模板,匹配方式选择字段名称(敏感类型目前仅支持静态脱敏),在界面上分别填入列名和在步骤二中确定的脱敏算法,如下图:确认后记录下模板ID,在SDK中引用时能够使用。步骤4:在应用程序中引用SDK和脱敏函数,编写代码。在应用中构造API Request,通过API请求的方式,获得脱敏结果。以Python代码举例:API调用示例,目前支持公共云的API请求,如果需要云内部请求,可以联系数据安全产品团队:关于数据安全中心提供的ExecDatamask脱敏接口,可以参考以下文档:https://help.aliyun.com/document_detail/157173.html注意:在client连接中使用的accessKeyId和accessSecret能够通过使用RAM Role进行更安全的授权,避免在应用中直接写入AK/SK,降低泄漏风险。【输入参数】:TemplateId选择模板ID,上例中为步骤三中记录的303;Data部分目前支持json的格式的输入,能够根据数据库结构构造:【输出结果】json格式的脱敏结果:截止目前,阿里云数据安全中心已经累计为云上客户运行了数以万计的脱敏任务,实现了几百亿字段的脱敏。同时,数据安全中心累计帮助云上客户防范了上百起潜在的数据泄漏事件。除了脱敏能力的升级,阿里云数据安全中心还在下列能力上进行了扩充,为企业安全管理员提供如下能力:· 元数据视角更加精准的自动识别与分类分级阿里云数据安全中心通过提供接口的方式,从元数据视角打通各类数据,赋能客户以更全局、更精准的视角,审视自身业务数据中存在的安全隐患,并针对性的落地防泄漏措施。· 从静态检测到动态感知进化的全域数据审计数据安全中心可以实现对云上各类数据源的安全审计,并在此基础上深耕防泄漏场景,帮助客户实现全域数据的风险感知。通过上述三大核心能力,数据安全中心能够满足企业在数据安全防护的核心诉求:1. 提升治理能力2. 降低泄露风险3. 保障安全合规还在等待什么?快来免费试用阿里云数据安全中心吧!https://www.aliyun.com/product/security/sddp附上阿里云SDK下载链接:https://next.api.aliyun.com/api-tools/sdk/Sddp?version=2019-01-03&language=python
-
发表了文章 2021-01-20
Incaseformat 蠕虫病毒,云上环境实现天然免疫
—— 现实生活疫情病毒继续狡猾生存, 2021开年「Incaseformat」蠕虫病毒突袭, 网络世界是否存在免疫空间? —— 本月13日起,安全业界陆续发布「Incaseformat」蠕虫病毒大规模破坏的风险通告。阿里云安全对多个源头披露的病毒样本进行了分析,确认该病毒属于 PC 时代「常见的」本地型破坏病毒,且2009年就已经存在。受影响的电脑均表现为「裸奔」状态,未部署防病毒和安全软件。 该病毒主要依赖「U盘」等移动介质和文件压缩包分发形式进行传播,云上主机默认「不受该传播方式影响」。主流的安全软件已经能够对其进行查杀,建议您及时升级系统、更新补丁,并部署一定的安全防护软件,如:通过部署 UEM 产品开启U盘禁用功能,提升系统的安全免疫能力。 以下基于阿里云威胁情报能力,为用户呈现尽量全貌、细致的病毒分析,帮助更深层的研究和后续预防工作。 病毒分析还原 由于市面所有病毒分析报告仅做出样本技术分析,缺乏文件 MD5 等 IoC 信息,在此披露阿里云捕获的病毒母体样本:MD5=1071d6d497a10cef44db396c07ccde65 ,首次上传最早出现在2013年3月的 VirusTotal[1]。 该样本使用 DelphiXE 编译,VirusTotal 集成的 PEiD 识别加壳为 “BobSoft Mini Delphi -> BoB / BobSoft”,实际非加壳。病毒构造一个 TForm 窗体实例,但在 TForm::FormCreate 初始化函数中并不带有窗体相关指令,仅包含恶意代码,从而实现一个无实体的 GUI 程序: 这其中,实现了文件释放、写注册表以持久化自启动、及拉起释放的病毒子进程,并通过设置4个 TForm::Timer 实现独立的定时任务,包括特定日期之后、指定日期等拉起动作: 还包括保留根目录下 incaseformat.log 文件以外清除操作: “误用”的时间计算常量 多篇分析文章均提到:代码中由攻击者错误设置了一个用于计算时间的常量,才导致实际被激活的时间距离病毒植入时间相去甚远。相关代码如下: 值得注意的是,这实际上并非恶意代码片段,而是引用编译进来的 Delphi 包 Sysutils 中的代码和数据。 对 Delphi 运行时函数的引用,一般通过动态链接 Delphi 的 RTL 动态库实现。而此处以静态链接的方式引用库函数,可能是直接使用了类似 DelphiRTL[2] 的代码方式,并在被引用代码中,故意篡改了默认常量。 这种操作,一方面很可能是为了去除执行环境依赖,这是确保病毒在任意主机可执行的常见形式;另一方面,考虑到该样本设定的首次激活时间为4月1日,合理而有趣的推测——黑客手动篡改了该默认常量(每天分钟数)是严肃地开了一个玩笑。 经过多方信息验证,没有发现社区反映:Delphi 官方运行时或第三方版本有过 Delphi 计算时间戳错误的情况。而且,污染开发库的软件供应链污染似乎也并不符合这个十二年前纯破坏型病毒的特性。 病毒家族性分析 事实上,作为一个堪称“古典”的病毒,该样本既不孤立,也不存在有意图的隐藏。 根据被提取样本特征,阿里云对 VirusTotal 上近3个月公开的历史样本集执行回扫,现已至少发现469个相关样本。除了少量在2013年或更早时间被首次上传,多数样本为近期上传到平台上。 经抽样分析,这些样本具有完全相同的行为与持久化方式。所以毫无意外,样本因始终保持相同特征,VirusTotal 上70款左右的商业杀毒软件中,至少有55款对这些目标发生了报毒。例如,针对2013年首现样本之一,VirusTotal 历史上线的全部引擎中对该样本检出为病毒的引擎数情况如下: 总览全部469个样本,该家族检出率至少从样本初见就已经维持在80%以上,作为成品杀毒引擎对该样本的检出,实属常规预期(以上469个样本 MD5 见文末参考[3])。 云环境病毒检测情况披露 阿里云同时对云上主机已知样本进行特征匹配。经分析,该样本的执行生效并不局限于 PC 端 Windows 环境,在 Windows Server 系统上同样可生效。但该样源于U盘病毒传播(仅能通过设定为U盘的自动播放程序生效),在云端并不具备传染介质和途径,因此缺乏持久化能力,云上环境实现天然免疫。 截至目前,全云范围仅发现2例相关样本存在,阿里云对 Incaseformat 蠕虫病毒检测排查情况如下: · 样本发现 共发现2例样本,历史上共涉及15个用户和15台主机。 · 活跃状态 根据该病毒需要释放到 C:\Windows 下才能生效的特性,以特定文件名(tsay.exe、ttry.exe)执行生效逻辑判断病毒恶意行为是否生效,共12个用户、12台主机曾发生过执行动作; 但由于两例样本首次(2018年12月27日)在云上出现,即被阿里云自动检出并防御,因此病毒无法运行; 在受影响的主机上,以样本执行时间和进程快照采集时间维度观察,一台主机于去年11月有病毒文件植入,其进程最后活跃时间为1月2日; 其余主机上的病毒样本,首次采集和最后活跃时间都相同,或执行于一年或更久前,当前均表现为不活跃。 · 下载源推断 所有主机上除指定生效文件名(tsay.exe、ttry.exe)外,相同 MD5 都以其它文件名存在过,因此初步判断是由线下文件或网盘文件引入,并未观察到明确的病毒文件下载源。 · 云环境防御 样本文件成功触发后,原则上在云主机也会执行删文件、持久化动作,云环境主机防护若不开启防御功能,并不天然阻断病毒执行,天然免疫优势更多来自传播链路缺失。 阿里云默认安全环境及产品能力 尽管第一时间判断该“蠕虫”样本在云上不具备传播能力,阿里云安全中心仍然针对该家族性样本,添加了检测并自动阻断能力,可针对病毒的负载释放、拉起和破坏性动作精准防御。 考虑现代化病毒样本变种频繁且狡猾的特点,阿里云对云主机实际发现样本进行对比,再次确认当前该破坏性病毒不存在针对云主机的投放方式。 同时,通过对获取的已有样本进行回扫,添加云安全中心的云查杀功能,确保检测引擎具备对该样本的查杀能力,并对云上发现的2例样本、专有云等环境发现的样本,向用户第一时间推送了检测告警。 针对更复杂的用户场景,阿里云安全已有客户利用 UEM 检测终端上的杀毒软件功能,对未安装用户实现禁止入网,同时支持直接推送杀毒软件静默安装。 关于阿里云安全中心对该样本的第一时间检测、防御结果与处置建议,请参见阿里云先知官方风险通告:《【风险通告】云上 Incaseformat蠕虫病毒风险通告》[4]。 “黑客 bug 导致潜伏爆发”的段子可以留给愚人节,真实用户安全不容半点玩笑。 参 考: [1]https://www.virustotal.com/gui/file/8c8793eb7c80a09e1542e424ea89c23c195d364892620562e06b3df602890929/detection [2]https://github.com/remobjects/DelphiRTL/blob/master/Source/RTL/SysUtils.DateTime.pas [3]https://github.com/forward-wfw/misc/blob/main/incaseformat.lst.txt [4]https://mp.weixin.qq.com/s/rrDKYt_4MVC5WsZJ0UTK5g
滑动查看更多
2021年02月
-
02.03 13:58:12
发表了文章
2021-02-03 13:58:12
黑灰产攻击洪峰来袭,企业如何守住自己的钱袋子?
黑灰产攻击洪峰来袭,企业如何守住自己的钱袋子?
-
02.03 13:57:24发表了文章
2021-02-03 13:57:24
云安全威胁管理 | 解密新型 SQL Server 无文件持久化恶意程序
云安全威胁管理 | 解密新型 SQL Server 无文件持久化恶意程序
-
02.02 21:54:16发表了文章
2021-02-02 21:54:16
阿里云WAF爬虫风险管理升级,定义高效业务安全
阿里云WAF爬虫风险管理升级,定义高效业务安全
-
02.02 21:29:52发表了文章
2021-02-02 21:29:52
数据脱敏不再难,阿里云数据安全中心帮您轻松搞定!
数据脱敏不再难,阿里云数据安全中心帮您轻松搞定!
2021年01月
2020年12月
-
12.31 15:25:48发表了文章
2020-12-31 15:25:48
Sysrv-hello 新型挖矿现身,阿里云 0 号恶意样本一手分析报告独家发布
Sysrv-hello 新型挖矿现身,阿里云 0 号恶意样本一手分析报告独家发布
-
12.25 18:47:29发表了文章
2020-12-25 18:47:29
复盘 | 最大规模资源耗尽型DDoS,阿里云是如何抵御的?
复盘 | 最大规模资源耗尽型DDoS,阿里云是如何抵御的?
-
12.23 12:07:14发表了文章
2020-12-23 12:07:14
解决云主机弱口令问题和暴力破解风险的最佳实践
解决云主机弱口令问题和暴力破解风险的最佳实践
2020年10月
2020年09月
-
09.28 17:34:31发表了文章
2020-09-28 17:34:31
阿里云发布基于SASE架构的云安全访问服务
阿里云发布基于SASE架构的云安全访问服务
-
09.22 14:32:58发表了文章
2020-09-22 14:32:58
2020云栖大会安全专场,提速云原生 创新安全力
2020云栖大会安全专场,提速云原生 创新安全力
-
09.21 14:25:40发表了文章
2020-09-21 14:25:40
阿里云肖力:原生安全打造云上绿洲
阿里云肖力:原生安全打造云上绿洲
-
09.21 14:17:03发表了文章
2020-09-21 14:17:03
对话猿辅导:阿里云远程办公零信任落地创新安全
对话猿辅导:阿里云远程办公零信任落地创新安全
-
09.16 14:10:18发表了文章
2020-09-16 14:10:18
鉴权配置不当,蠕虫在自建K8s集群自由出入
鉴权配置不当,蠕虫在自建K8s集群自由出入
-
09.09 16:17:25发表了文章
2020-09-09 16:17:25
宜家:打造新零售时代的智能客户身份管理系统
宜家:打造新零售时代的智能客户身份管理系统
-
09.08 15:47:00发表了文章
2020-09-08 15:47:00
1药网携手阿里云 为用户提供安全便捷的在线“医+药”服务
1药网携手阿里云 为用户提供安全便捷的在线“医+药”服务
滑动查看更多
-
发表了文章
2021-02-03
黑灰产攻击洪峰来袭,企业如何守住自己的钱袋子?
-
发表了文章
2021-02-03
云安全威胁管理 | 解密新型 SQL Server 无文件持久化恶意程序
-
发表了文章
2021-02-02
阿里云WAF爬虫风险管理升级,定义高效业务安全
-
发表了文章
2021-02-02
数据脱敏不再难,阿里云数据安全中心帮您轻松搞定!
-
发表了文章
2021-01-20
Incaseformat 蠕虫病毒,云上环境实现天然免疫
-
发表了文章
2021-01-12
对 SolarWinds 事件更深的思考:如何防御供应链攻击
-
发表了文章
2020-12-31
Sysrv-hello 新型挖矿现身,阿里云 0 号恶意样本一手分析报告独家发布
-
发表了文章
2020-12-25
复盘 | 最大规模资源耗尽型DDoS,阿里云是如何抵御的?
-
发表了文章
2020-12-23
解决云主机弱口令问题和暴力破解风险的最佳实践
-
发表了文章
2020-10-20
阿里云宣布支持SGX2.0技术,发布业界首个基于SGX2.0和TPM的可信虚拟化实例
-
发表了文章
2020-09-28
阿里云发布基于SASE架构的云安全访问服务
-
发表了文章
2020-09-22
2020云栖大会安全专场,提速云原生 创新安全力
-
发表了文章
2020-09-21
阿里云肖力:原生安全打造云上绿洲
-
发表了文章
2020-09-21
对话猿辅导:阿里云远程办公零信任落地创新安全
-
发表了文章
2020-09-16
鉴权配置不当,蠕虫在自建K8s集群自由出入
-
发表了文章
2020-09-09
宜家:打造新零售时代的智能客户身份管理系统
-
发表了文章
2020-09-08
1药网携手阿里云 为用户提供安全便捷的在线“医+药”服务
-
发表了文章
2020-09-04
1药网携手阿里云 为用户提供安全便捷的在线“医+药”服务
-
发表了文章
2020-07-23
阿里云上新了!详解国内首个云上IDaaS CIAM解决方案
-
发表了文章
2020-07-21
Linux基础软件威胁疑云:从已知到“未知”
滑动查看更多
-
回答了问题
2019-07-17
阿里云上有什么机制或服务可以防御爬虫?
阿里云目前推出一款安全产品“爬虫风险管理”,专业检测高级爬虫,降低爬虫及自动化工具对网站的业务影响,对Web网页端/H5页面/APP/API进行全方位防护。产品详情可以查看https://www.aliyun.com/product/antibot。目前产品正在公测阶段,可以官网产品页入口提交公测申请。
赞0 踩0 评论0
滑动查看更多