今年HVV內存馬殺瘋了，怎么破？

那么，你可能是碰到內存馬了。在幾天前，我們也遇到了：

內存馬大破堡壘機 微步小伙巧抓攻擊者

7月27日晚上9點左右，某單位的微步一線人員登錄堡壘機，不料卻提示密碼錯誤。我們迅速聯系原廠修改密碼，登錄后，確定是被攻擊了。立即隔離被入侵的主機，以控制事態、避免影響擴大，隨后溯源。

微步同學登錄堡壘機查證發現，攻擊者在26日下午17:51分發起攻擊，利用內網主機A嘗試修改堡壘機密碼。那么攻擊者是如何登錄到內網主機A的呢？

登錄到主機A分析日志，發現在7月26日下午執行了可疑的Python進程，以及shell交互式終端，這符合冰蝎Webshell的特征。繼續分析，發現Tomcat在26日17點16分時加載了可疑的Class，基本可以確定是內存馬了！

接下來就是用內存馬檢測工具去驗證我們的判斷。能檢測內存馬的工具其實不少，原理也都類似：通過Java Agent技術將檢測代碼注入到內存中，但在哪兒檢測就有講究了：

• 一些HIDS直接在內存中檢測，這種檢測方式的優點是能做到事前預防，但缺點同樣明顯，在內存中檢測會占用較多的計算資源，對正常業務產生影響。
• 另一種方法是利用Agent技術進入JVM后，遍歷篩選可疑的類，然后dump到硬盤，將類字節碼反編譯為Java代碼后，再進行惡意代碼檢測。目前EDR類產品多使用這一方法。

經檢測，結果為filter型內存馬，反匯編后，其部分代碼如下：

原來攻擊者通過利用內存馬獲得了主機B、主機C，以及堡壘機admin賬戶密碼。隨后登錄、修改堡壘機admin賬戶密碼，并先后創建了Windows和Linux服務器，分別運行superscan與nmap掃描程序。

攻擊者在堡壘機上進行了一系列敏感風險操作

由此，整個攻擊鏈條浮出水面：

在這一案例中，攻擊者雖然通過Java內存馬做到了悄無聲息的入侵，但攻擊行為本身卻會產生一系列的異常行為，比如異常登錄、修改密碼、創建實例并運行掃描程序等。雖然內存馬攻擊手段隱蔽，但只要掌握檢測的正確姿勢，成功防守并不難。

內存馬入侵隱蔽高 行為檢測抓異常

在另一次演練中，作為防守方的微步在線團隊接到主機檢測與響應平臺OneEDR告警：某主機存在Webshell文件。

Webshell文件本身極難檢出，防守隊員很清楚，當發現主機上有Webshell文件時，往往意味著這臺主機即將失陷，十分危險。

防守隊員迅速展開排查，發現Webshell文件已被攻擊者刪除，但同時又出現大量敏感風險操作，如下載可執行文件，為代理類型的惡意可執行性文件——這通常是攻擊者實施內網滲透的前置工作；同時告警的還有查看并寫入敏感文件/etc/passwd、/root/.ssh/config等。

對告警主機上的資產和風險分析研判，發現主機上存在tomcat服務，且tomcat控制臺存在弱口令，猜測攻擊者由此入口部署Webshell文件，實現入侵。但是Webshell文件已經被刪除，攻擊者仍能做出攻擊行為，說明主機上還存在另一條控制通道。

看不見的攻擊，大量的敏感行為……種種跡象表明，這臺主機上很可能存在內存馬。

防守隊員立馬使用OneEDR服務端下發內存馬單次檢測任務。幾分鐘后，果然收到了Java Web內存馬告警。

對反編譯后的類文件進行二次研判，發現是Webshell管理工具“哥斯拉”注入的Servlet類型內存馬。與案例中filter類型內存馬同屬一個大類，只是利用的組件不同，如下圖：

內存馬雖然有多個類型分支，但由于Java在企業數據中心的廣泛普及，以及Java本身技術的便利性，導致“成熟”的內存馬攻擊手法幾乎都基于Java

確定是內存馬后，征得企業相關人員同意，防守隊員重啟Tomcat服務器，重啟后沒有發現新的告警，攻擊被成功阻斷。

相比案例一的囂張行為，案例二中攻擊者的行為相對較為隱蔽，但仍被發現了，這其中很重要的工具就是OneEDR——這是微步在線旗下的一款主機威脅檢測與響應平臺。

在案例二中， OneEDR通過單點檢測對異常行為進行告警，更重要的是，OneEDR還利用了機器學習成果，將攻擊產生的異常行為聚合起來，并打分，以確定并非誤報。并且事件聚合功能還能防止漏報：OneEDR針對的是整個攻擊行為，哪怕漏掉一兩個異常行為，并不會影響告警結果。

OneEDR事件聚合功能形成的可視化攻擊鏈路圖，不僅能夠迅速發現攻擊，還能迅速鎖定失陷主機，為藍隊成員及時、準確地進行處置、溯源大開方便之門。

寫在最后

據Dynatrace不完全統計，2020年被發現的勒索病毒攻擊成功的事件中，有超過80%是通過無文件方式完成的。并且，越來越多的Java漏洞利用工具都集成了一鍵注入內存馬的功能。

攻防雙方的對抗技術總是螺旋上升的，盡管當前的內存馬檢測技術并不完美，但我們堅信，軟件開發者與網絡安全從業者最終可以找出更加簡便、有效的內存馬防御解決方案——再狡猾的狐貍也斗不過好獵人！

與堅守在一線的藍隊同學共勉！祝大家都能順利渡過接下來的一周！