Redis威脅流量監聽實踐
本文轉載自微信公眾號" 新浪安全中心",原文作者:糖果LUA
概要
我們在平時的安全運維中,Redis服務對我們來說是一種比較常見的服務,相應的Redis漏洞也比較棘手,網上有很多關於Reids漏洞利用和再現的方法,如果想延伸一下這個課題,我們可以考慮如何主動的防護redis的漏洞,那怕只是監聽redis服務中,可能存在的威脅行為,先解決一部分問題?這個就是本文要給出的一個思路和解決方案。關鍵是,現在有些系統是不提供這種服務的,所以我們嘗試定製開發。
背景
我們在再現redis的漏洞時,用tcpdump等工具,抓取了滲透的流量,把威脅流量儲存寫到pcap包中,經過分析我們發現redis的協議資料是明文的,經過擷取包,我們可以看到其中的內容,所有的這些set、get、dir、config命令一般的流量中我們都可以看到,在redis密碼沒有設定的情況下。我們發現一般的防火牆也並不抓取redis的流量並解析,甚至是報警。基於我們之前的實踐,既然tcpdump能抓到,我們用pcap基礎開發包也可以抓到。
防護策略
既然我們可以抓取流量,就可以監聽redis的流量中的內容,先期的預想是,只要我們分析出redis攻擊行為幾個動作序列,採用行為模式匹配的方式,只要有人觸發了比較危險的幾個動作指令,我們就把這次Redis操作列為一個可疑的行為,並對這種形為的IP進行監聽日誌留存,並把威脅攻擊IP相關的屬性資訊,和其它裝置中的威脅資料做碰撞,這一切基礎前提就是:我們可以抓取訪問者的流量(靠工具),並識別他的行為動作(靠策略)。下面我們就用工具監聽redis的set、get、config命令為例子,透過這個來展示整個流程的監聽過程。
監聽部署
為了測試,我們是把某個機房的某個網段的流量,映象集中到另一臺伺服器上, 我們集中監聽打到這臺服務上,其它的Redis的服務的流量彙總,我們透過分析這些Redis服務的操作內容,進行流量監控和行為識別,然後將監聽的威脅行為資料儲存到威脅行為庫裡。
工具實施
這個監聽系統工作模式就這樣,接下來就是我們要用工具實施我們方案,我們選用的工具還是傳統的C語言和Lua的指令碼方式,用C讀取監聽6379埠是的流量資料,然後將解析出來的資料推給Lua進行模式匹配。
一般的攻擊行為都有一個大概的請求序列,Redis服務本身就是系統記憶體的一個伺服器監聽程式,一般會Bind本機的IP,監聽預設的6379埠,如果Redis的對外提供服務,需要改變redis.conf的配置,開啟配置檔案對應把bind xxx.xxx.xxx.xxx的IP改成你本地的網路卡IP,這樣在外部使用Redis訪問,才不會出現埠訪問被拒絕的情況。
改變IP後,我們要解決的是密碼設定問題,如果有一天某臺Redis的密碼“消失了”。 這時這臺機器可能會被威脅利用,這時就滿足了我們要設定場景,重現這種情況就要把redis.conf中的密碼去掉。
這種啟動方式,是不能滲透成功的,我們要用下面的方式進行redis的服務啟動,進入root然後輸入:
如果我們想簡單的用Tcpdump擷取Redis資料包,我們可以用下面的命令:
我們可以一邊滲透Redis,一邊記錄這次滲透過程中,攻擊指令的序列資料。 下面就是用我們要用的工具,用於監聽和解析Redis的流量資料的資料:
我們下載這個pcap監聽的工具包,我們預設的工作平臺是: make linux
因為,這個工具在linux上使用,用C實現,嵌入了Lua指令碼外掛化的處理,來獲取監聽介面的資料,本文中提的是對6379介面的監聽。我們在完成編譯動作後,需要改一個config.lua的配置。
開啟config.lua, 修改return的返回值,告訴C主程式,我們讓Pcap監聽本機的6389埠,以下。
需要注意的是watch.c的程式碼,以下
getPacket()這個函式,主體功還是把資料推給lua,基本的邏輯就是這麼簡單,關鍵就是這個有個入口buffer.lua,我們記著這個時序的入口就行,便於以後面的邏輯的理解清楚。 從buffer.lua這個執行序開始後,邏輯都交給lua來處理了,具體lua怎麼處理,要自己根據自己定製的規則情況寫處理邏輯。
Lua程式碼一直執行在pcap的迴圈內,採用的是外掛機制,我們加一個處理,就相當於要加一個外掛。外掛模板的程式碼都是類似的,我們看一個其它的就看懂了,其它相關腳手架的程式碼不介紹了:
用lua寫程式碼,是為了降低策略實現部分的程式碼複雜度,最關鍵的函式filter_plugin.action(),這裡的stream.data就是吐到6369上的所有資料,包括Redis相關的執行的get、set、config等請求都會在這個變數裡中的所體現。我們先開啟redis-cli的客戶端,傳送一個set指令看看,看我們的程式是否可能監聽到。
我們啟動這個基於pcap庫的監聽程式,畫紅色圓的地方就是,pcap主迴圈推給lua指令碼的資料。
“set a ”的整個指令的資料內容都在。
總結
到此我們完成了整個監控程式的執行週期,透過這個工具,所有經過6379埠的資料我們都可以取得到,至於客官們想針對什麼樣的的reids攻擊,寫出對應的策略,編寫lua外掛邏輯就可以了。本身lua的程式碼實現就不復雜,提供的資料結構操作類似字串序列這種資料也很方便,程式碼可以到github上直接下載,如何變動,具體就看各自的需求和各自的策略設計了。簡單說,剩下的工作就是用lua寫攻擊模式的甄別。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31510736/viewspace-2156668/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- redis過期監聽Redis
- 【Redis系列】Spring boot實現監聽Redis key失效事件RedisSpring Boot事件
- Laravel Telescope 未監聽 RedisLaravelRedis
- 監控雲流量的七種QoS最佳實踐
- java 監聽 redis 過期事件JavaRedis事件
- 實踐之後,我們來談談如何做好威脅建模
- Redis中監聽key過期通知Redis
- 大型網際網路企業威脅情報運營與實踐思考
- 什麼是網路安全威脅?常見威脅有哪些?
- 綠盟威脅情報專欄|6月威脅熱點
- 綠盟威脅情報專欄|7月威脅熱點
- java鍵盤監聽之視窗監聽的實現Java
- 威脅建模基礎
- 郵件安全威脅
- Lumen 實現 SQL 監聽SQL
- 企業上雲安全實踐——公有云業務系統安全威脅與防護
- 監聽 watch props物件屬性監聽 或深度監聽物件
- Crowd Research:2017年威脅、監測、檢測和響應報告
- Websense網際網路威脅報告:Web威脅更具混合性Web
- 永遠不要使用 redis 過期監聽實現定時任務Redis
- 智慧營銷系統威脅到實體商家
- Laravel 實時監聽列印 SQLLaravelSQL
- AI的存在不是威脅真正的威脅是沒有正確使用AIAI
- 2020年新威脅,無人機可能成為主要的網路安全威脅無人機
- 新基建下的威脅狩獵|看綠盟綜合威脅分析系統
- Laravel 如何監聽 Redis key 過期進行回撥LaravelRedis
- 安全要素與 STRIDE 威脅IDE
- ClickHouse與威脅日誌分析
- 供應鏈威脅和漏洞
- Sophos:2021年威脅報告
- 監聽者模式實戰應用模式
- JavaFx 監聽剪下板實現(Kotlin)JavaKotlin
- Kubernetes監控實踐
- Redis使用與實踐Redis
- redis實踐及思考Redis
- 洞見RSA 2021| ICS安全威脅——從假想到現實
- predis 監聽不到 key 過期事件,Redis-cli 可以收到Redis事件
- watch監聽