Redis威脅流量監聽實踐

本文轉載自微信公眾號" 新浪安全中心",原文作者：糖果LUA

　　概要

　　我們在平時的安全運維中，Redis服務對我們來說是一種比較常見的服務，相應的Redis漏洞也比較棘手，網上有很多關於Reids漏洞利用和再現的方法，如果想延伸一下這個課題，我們可以考慮如何主動的防護redis的漏洞，那怕只是監聽redis服務中，可能存在的威脅行為，先解決一部分問題?這個就是本文要給出的一個思路和解決方案。關鍵是，現在有些系統是不提供這種服務的，所以我們嘗試定製開發。

　　背景

　　我們在再現redis的漏洞時，用tcpdump等工具，抓取了滲透的流量，把威脅流量儲存寫到pcap包中，經過分析我們發現redis的協議資料是明文的，經過擷取包，我們可以看到其中的內容，所有的這些set、get、dir、config命令一般的流量中我們都可以看到，在redis密碼沒有設定的情況下。我們發現一般的防火牆也並不抓取redis的流量並解析，甚至是報警。基於我們之前的實踐，既然tcpdump能抓到，我們用pcap基礎開發包也可以抓到。

　　防護策略

　　既然我們可以抓取流量，就可以監聽redis的流量中的內容，先期的預想是，只要我們分析出redis攻擊行為幾個動作序列，採用行為模式匹配的方式，只要有人觸發了比較危險的幾個動作指令，我們就把這次Redis操作列為一個可疑的行為，並對這種形為的IP進行監聽日誌留存，並把威脅攻擊IP相關的屬性資訊，和其它裝置中的威脅資料做碰撞，這一切基礎前提就是：我們可以抓取訪問者的流量(靠工具)，並識別他的行為動作(靠策略)。下面我們就用工具監聽redis的set、get、config命令為例子，透過這個來展示整個流程的監聽過程。

　　監聽部署

　　為了測試，我們是把某個機房的某個網段的流量，映象集中到另一臺伺服器上， 我們集中監聽打到這臺服務上，其它的Redis的服務的流量彙總，我們透過分析這些Redis服務的操作內容，進行流量監控和行為識別，然後將監聽的威脅行為資料儲存到威脅行為庫裡。

　　工具實施

　　這個監聽系統工作模式就這樣，接下來就是我們要用工具實施我們方案，我們選用的工具還是傳統的C語言和Lua的指令碼方式，用C讀取監聽6379埠是的流量資料，然後將解析出來的資料推給Lua進行模式匹配。

　　一般的攻擊行為都有一個大概的請求序列，Redis服務本身就是系統記憶體的一個伺服器監聽程式，一般會Bind本機的IP，監聽預設的6379埠，如果Redis的對外提供服務，需要改變redis.conf的配置，開啟配置檔案對應把bind xxx.xxx.xxx.xxx的IP改成你本地的網路卡IP，這樣在外部使用Redis訪問，才不會出現埠訪問被拒絕的情況。

　　改變IP後，我們要解決的是密碼設定問題，如果有一天某臺Redis的密碼“消失了”。 這時這臺機器可能會被威脅利用，這時就滿足了我們要設定場景，重現這種情況就要把redis.conf中的密碼去掉。

　　這種啟動方式，是不能滲透成功的，我們要用下面的方式進行redis的服務啟動，進入root然後輸入:

　　如果我們想簡單的用Tcpdump擷取Redis資料包，我們可以用下面的命令：

　　我們可以一邊滲透Redis，一邊記錄這次滲透過程中，攻擊指令的序列資料。 下面就是用我們要用的工具，用於監聽和解析Redis的流量資料的資料：

　　我們下載這個pcap監聽的工具包,我們預設的工作平臺是： make linux

　　因為，這個工具在linux上使用，用C實現，嵌入了Lua指令碼外掛化的處理，來獲取監聽介面的資料，本文中提的是對6379介面的監聽。我們在完成編譯動作後，需要改一個config.lua的配置。

　　開啟config.lua， 修改return的返回值，告訴C主程式，我們讓Pcap監聽本機的6389埠，以下。

　　需要注意的是watch.c的程式碼，以下

　　getPacket()這個函式，主體功還是把資料推給lua，基本的邏輯就是這麼簡單，關鍵就是這個有個入口buffer.lua，我們記著這個時序的入口就行，便於以後面的邏輯的理解清楚。 從buffer.lua這個執行序開始後，邏輯都交給lua來處理了，具體lua怎麼處理，要自己根據自己定製的規則情況寫處理邏輯。

　　Lua程式碼一直執行在pcap的迴圈內，採用的是外掛機制，我們加一個處理，就相當於要加一個外掛。外掛模板的程式碼都是類似的，我們看一個其它的就看懂了，其它相關腳手架的程式碼不介紹了：

　　用lua寫程式碼，是為了降低策略實現部分的程式碼複雜度，最關鍵的函式filter_plugin.action()，這裡的stream.data就是吐到6369上的所有資料，包括Redis相關的執行的get、set、config等請求都會在這個變數裡中的所體現。我們先開啟redis-cli的客戶端，傳送一個set指令看看，看我們的程式是否可能監聽到。

　　我們啟動這個基於pcap庫的監聽程式，畫紅色圓的地方就是，pcap主迴圈推給lua指令碼的資料。

　　“set a ”的整個指令的資料內容都在。

　　總結

　　到此我們完成了整個監控程式的執行週期，透過這個工具，所有經過6379埠的資料我們都可以取得到，至於客官們想針對什麼樣的的reids攻擊，寫出對應的策略，編寫lua外掛邏輯就可以了。本身lua的程式碼實現就不復雜，提供的資料結構操作類似字串序列這種資料也很方便，程式碼可以到github上直接下載，如何變動，具體就看各自的需求和各自的策略設計了。簡單說，剩下的工作就是用lua寫攻擊模式的甄別。