網路資訊

新浪安全中心:Redis 威脅流量監聽實踐

網站內容來源http://server.it168.com/

新浪安全中心:Redis 威脅流量監聽實踐

2018-06-26 15:49    來源:新郎安全中心  作者: 糖果LUA 編輯:
0購買

  概要

我們在平時的安全運維中,Redis服務對我們來說是一種比較常見的服務,相應的Redis漏洞也比較棘手,網上有很多關於Reids漏洞利用和再現的方法,如果想延伸一下這個課題,我們可以考慮如何主動的防護redis的漏洞,那怕只是監聽redis服務中,可能存在的威脅行為,先解決一部分問題?這個就是本文要給出的一個思路和解決方案。關鍵是,現在有些系統是不提供這種服務的,所以我們嘗試定製開發。

  背景

我們在再現redis的漏洞時,用tcpdump等工具,抓取了滲透的流量,把威脅流量保存寫到pcap包中,經過分析我們發現redis的協議數據是明文的,經過截取包,我們可以看到其中的內容,所有的這些set、get、dir、config命令一般的流量中我們都可以看到,在redis密碼沒有設置的情況下。我們發現一般的防火牆也並不抓取redis的流量並解析,甚至是報警。基於我們之前的實踐,既然tcpdump能抓到,我們用pcap基礎開發包也可以抓到。

  防護策略

既然我們可以抓取流量,就可以監聽redis的流量中的內容,先期的預想是,只要我們分析出redis攻擊行為幾個動作序列,採用行為模式匹配的方式,只要有人觸發了比較危險的幾個動作指令,我們就把這次Redis操作列為一個可疑的行為,並對這種形為的IP進行監聽日誌留存,並把威脅攻擊IP相關的屬性信息,和其它設備中的威脅數據做碰撞,這一切基礎前提就是:我們可以抓取訪問者的流量(靠工具),並識別他的行為動作(靠策略)。下面我們就用工具監聽redis的set、get、config命令為例子,通過這個來展示整個流程的監聽過程。

  監聽部署

為了測試,我們是把某個機房的某個網段的流量,鏡像集中到另一台服務器上, 我們集中監聽打到這台服務上,其它的Redis的服務的流量匯總,我們通過分析這些Redis服務的操作內容,進行流量監控和行為識別,然後將監聽的威脅行為數據保存到威脅行為庫里。

  工具實施

這個監聽系統工作模式就這樣,接下來就是我們要用工具實施我們方案,我們選用的工具還是傳統的C語言和Lua的腳本方式,用C讀取監聽6379端口是的流量數據,然後將解析出來的數據推給Lua進行模式匹配。

一般的攻擊行為都有一個大概的請求序列,Redis服務本身就是系統內存的一個服務器監聽程序,一般會Bind本機的IP,監聽默認的6379端口,如果Redis的對外提供服務,需要改變redis.conf的配置,打開配置文件對應把bind xxx.xxx.xxx.xxx的IP改成你本地的網卡IP,這樣在外部使用Redis訪問,才不會出現端口訪問被拒絕的情況。

改變IP后,我們要解決的是密碼設置問題,如果有一天某台Redis的密碼“消失了”。 這時這台機器可能會被威脅利用,這時就滿足了我們要設定場景,重現這種情況就要把redis.conf中的密碼去掉。

這種啟動方式,是不能滲透成功的,我們要用下面的方式進行redis的服務啟動,進入root然後輸入:

如果我們想簡單的用Tcpdump截取Redis數據包,我們可以用下面的命令:

我們可以一邊滲透Redis,一邊記錄這次滲透過程中,攻擊指令的序列數據。 下面就是用我們要用的工具,用於監聽和解析Redis的流量數據的數據:https://github.com/shengnoah/riff

我們下載這個pcap監聽的工具包,我們默認的工作平台是: make linux

因為,這個工具在linux上使用,用C實現,嵌入了Lua腳本插件化的處理,來獲取監聽接口的數據,本文中提的是對6379接口的監聽。我們在完成編譯動作后,需要改一個config.lua的配置。

打開config.lua, 修改return的返回值,告訴C主進程,我們讓Pcap監聽本機的6389端口,以下。

需要注意的是watch.c的代碼,以下

getPacket()這個函數,主體功還是把數據推給lua,基本的邏輯就是這麼簡單,關鍵就是這個有個入口buffer.lua,我們記着這個時序的入口就行,便於以後面的邏輯的理解清楚。 從buffer.lua這個執行序開始后,邏輯都交給lua來處理了,具體lua怎麼處理,要自己根據自己定製的規則情況寫處理邏輯。

Lua代碼一直運行在pcap的循環內,採用的是插件機制,我們加一個處理,就相當於要加一個插件。插件模板的代碼都是類似的,我們看一個其它的就看懂了,其它相關腳手架的代碼不介紹了:

用lua寫代碼,是為了降低策略實現部分的代碼複雜度,最關鍵的函數filter_plugin.action(),這裏的stream.data就是吐到6369上的所有數據,包括Redis相關的執行的get、set、config等請求都會在這個變量里中的所體現。我們先打開redis-cli的客戶端,發送一個set指令看看,看我們的程序是否可能監聽到。

我們啟動這個基於pcap庫的監聽程序,畫紅色圓的地方就是,pcap主循環推給lua腳本的數據。

“set a www.candylab.net”的整個指令的數據內容都在。

  總結

到此我們完成了整個監控程序的執行周期,通過這個工具,所有經過6379端口的數據我們都可以取得到,至於客官們想針對什麼樣的的reids攻擊,寫出對應的策略,編寫lua插件邏輯就可以了。本身lua的代碼實現就不複雜,提供的數據結構操作類似字符串序列這種數據也很方便,代碼可以到github上直接下載,如何變動,具體就看各自的需求和各自的策略設計了。簡單說,剩下的工作就是用lua寫攻擊模式的甄別。

網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計

帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

新浪安全中心:Redis 威脅流量監聽實踐