本稿では、ファイルアップロード系アラームを手がかりに、日常のセキュリティ運用を行うための方法について、ファイルアップロードの定義、ファイルアップロードに関するIDSルール、ファイルアップロード例、ファイルアップロードアラームの分析と判断、重要なセキュリティインシデントをマイニングするために、ファイルのアップロードを処理するための提案。

ファイルアップロード定義

ファイルアップロードは、特にセキュリティ分野におけるファイルアップロードに関連する脆弱性を指します。ファイルアップロードの脆弱性の原則の詳細については、ここを参照してください。ファイルアップロードの原則と対応する脆弱性の例について詳しく知りたい場合は、次のサイトに移動してください。前の記事。

ファイルアップロードパッケージ

以下に、一般的なファイルアップロードデータパッケージの例を紹介します。

ファイルアップロードケース1

ここに画像の説明を挿入
図 1
ここでは、ファイルアップロード機能を使用して、一文のトロイの木馬の .php ファイルがアップロードされています。

ファイルアップロード事例2

ここに画像の説明を挿入
図 2
ここでは、.ini 設定ファイルはファイルアップロード機能を使用してアップロードされていますが、ファイルの内容は画像ファイルの先頭で意図的に GIF89a を使用しています。

ファイルアップロードのケース 3

ここに画像の説明を挿入
図 3
ここでは、.jsp ファイルがファイルアップロード機能を通じてアップロードされています。

ファイルアップロードルール

上記のファイルによってアップロードされたデータパケットの場合、HTTP プロトコルファイルアップロードの脆弱性に関する一般的なルールは次のとおりです。

alert http any any -> any any (msg:"HTTP文件上传漏洞检测"; flow:to_server,established; file_data; content:"Content-Disposition|3a| form-data|3b| name=|22|file|22|"; nocase; content:"filename=|22|"; nocase; pcre:"/filename=[^;]+?.(php|pl|py|jsp|asp|aspx|exe|dll|sh)/U"; reference:url,https://www.owasp.org/index.php/Unrestricted_File_Upload; classtype:attempted-user; sid:1000001; rev:1;)

関連するルールを含むファイルをさらに入手したい場合は、ET のオープンソースルールを参照できます。変更されたルールセットは、業界では比較的よく知られたルールセットです。ダウンロードアドレスはこちらです。もちろん、ETPRO ルールセットの商用有料バージョンをここで購入したり、Snort ルールセットをここで購入したりすることもできます。ETPRO ルールセットは一般的な攻撃の検出に重点を置き、Snort ルールセットは脆弱性の検出に重点を置いており、Snort の方が価格が安価です。

上記のルールから、ファイルアップロードの検出ロジックには次の 2 つのポイントがあることがわかります。

Content-Disposition やファイル名などの監視ポイントは、HTTP ファイルのアップロード動作を検出するために使用されます。
php、py、asp、exe などは、特定のサフィックスを持つファイルを検出してアップロードします

その理由は、通常のビジネスでは、アップロードできるのは写真、txt ファイル、word ビジネスファイルのみであるためです。実行可能なスクリプトファイルがアップリンクデータで送信される場合、つまりスクリプトファイルがサーバーにアップロードされる場合、非常に疑わしい場合が多く、通常、セキュリティデバイスはこのタイプのアラームを発行します。

実際に管理者がスクリプトをアップロードするケースも考えられますし、実行ファイルのアップロードが通常のビジネス行為である場合もあるため、上記のルールの検出ポイントから得られるアラームだけでは、その動作が悪意のある動作であるかどうかを確認することはできません。現時点では、オペレーターは多くの場合、アラームのペイロードとその他の関連動作を組み合わせて、調査と証拠収集を行う必要があります。つまり、ファイルアップロードアラームを手掛かりとして、ファイルの内容、関連する脆弱性の有無、攻撃者と被害者の情報、キルチェーンに関連する他の操作の有無を総合的にアップロードすることで、最終的に完全なセキュリティインシデントを判断することができます。。したがって、ファイルのアップロードの場合、関連する調査および判断の内容には次のものが含まれます。

ファイルアップロードの解析・判定

以下では、特定の脆弱性エクスプロイトかどうか、ファイルのペイロードは何か、攻撃者は誰か、被害者の資産、他の操作に関連しているかどうかなど、オペレータがファイルアップロードアラームを判断するためのいくつかの要素を紹介します。

ペイロードの調査と判断

この意図は、次のようにデータパケットのペイロードから取得できます。
図 1 にアップロードされたペイロードは、一文のトロイの木馬であり、その動作は非常に疑わしいです。一言で言えば、トロイの木馬は Web シェルと密接に関係していることが多いからです。
図 2 と 3 でアップロードされているものは、経験によって判断できない場合、特定のファイルです。特定のファイルの悪意を判断する方法は次のとおりです: 1. pcap でファイルデータを復元します (復元方法については、こちらを参照してください) ; 2. md5sum コマンドを通じてファイルの MD5 値を取得し、VT で検索します。3. VT に対応する結果がない場合、実行可能ファイルはオープンソースのサンドボックスを通じて動的に実行でき、動作分析レポートを取得して、動作レポートを通じてさらなる調査と判断を行うことができます。図 2 では、ホストに移動して、対応するshell.png を定性的に表示する必要がありますが、GIF89a で始まるファイルに偽装された ini ファイルから、これは悪意のある動作であると結論付けることができます。
ペイロードを通じて、基本的に、ファイルアップロードの最初の目的、つまりファイルが何に使用できるかを判断できます。悪意のあるファイルの場合、この警告イベントにはさらに注意が必要です

攻撃者の判断

送信元 IP から、攻撃リクエストの開始者が誰であるかを知ることができます。脅威インテリジェンス分析を通じて、ブラック IP とグレー IP および悪意のある攻撃が特定されます。以下の図 4 は、Weibu Intelligence によって示された悪意のある IP を示しています。
ここに画像の説明を挿入
図 4
は、攻撃者の IP がインテリジェンスを通じて悪意のあるものであることを示しているため、このアラームイベントにはさらなる注意が必要です。次回は、衝突に Wireshark と脅威インテリジェンスを使用する方法を紹介します。詳細については、こちらのコラム「セキュリティアナリスト」を参照してください。

攻撃結果の分析・判断

上記ファイルアップロードの戻り値を判断することで、ファイルアップロードが成功したか否かを判定します。図 1 と 2 を参照してください。エクスプロイトは HTTP プロトコルレベルで 200 OK を返しますが、これは成功したと考えられます。応答のペイロード部分にアップロード成功の明確なメッセージがある場合、アラームイベントにはさらに注意が必要です。できるだけ早く調査し、対応するホストから証拠を収集する必要があります。

キルチェーンの研究と判断

ファイルアップロードの脆弱性の悪用 (キルチェーンの前後の動作に関連している可能性がある場合)。たとえば、被害者の IP を検索することで、脆弱性が悪用される前にスキャン動作の警告があるかどうか、脆弱性が悪用された後に Web シェルが悪用される動作があるかどうかを確認します。関連する動作があり、攻撃パスを復元できる場合、このアラームイベントにはさらに注意が必要です。もちろん、ファイルのアップロードを核として、より多くの攻撃手法が関連付けられますが、本質的には、ファイルのアップロードにおける EXP の一般的な使用方法に精通する必要があります。

ファイルアップロードの推奨事項

セキュリティ運用の観点から、ファイルアップロードの廃棄に関する推奨事項は通常次のとおりです。

攻撃者の IP アドレスをブロックして、悪意のある IP が再び使用されるのを防ぎます。
対応する資産にファイルアップロードの脆弱性があるかどうかを確認し、存在する場合は、フォローアップの脆弱性修復計画に参加します。
攻撃を成功させるには、対応する端末に移動して、アップロードされたファイルをクリアする必要があります。
キルチェーンに関連するその他の攻撃については、Web シェルなどの他の攻撃手法による悪影響を排除します。

この記事は CSDN の村の若者によるオリジナルの記事であり、許可なく複製することはできません。ブロガーのリンクはここにあります。

ファイル操作セキュリティ - ファイルアップロードアラーム操作