基于RASP技术在容器环境的内存Webshell检测研究.pdf
《基于RASP技术在容器环境的内存Webshell检测研究.pdf》由会员分享,可在线阅读,更多相关《基于RASP技术在容器环境的内存Webshell检测研究.pdf(7页珍藏版)》请在咨信网上搜索。
1、漏洞挖掘与威胁检测专题DOl:10.12379/j.issn.2096-1057.2023.10.03Issueon Vulnerability Mining and Threat Detection基于 RASP#技术在容器环境的内存Webshell检测研究姚纪卫王伟杨芳(安芯网盾(北京)科技有限公司()Research on Memory Webshell Detection in Docker Container Based onRASP TechnologyJ北京10 0 0 8 5)Yao Jiwei,Wang Wei,and Yang Fang(Ancinsec(Beijing)T
2、echnology Co.,Ltd,Beijing 100085)Abstract Containers have become a vital infrastructure supporting cloud computing applicationexecution,making container security increasingly crucial.The frequent occurrence of containersecurity incidents has propelled the urgent need for research in container securi
3、ty protection.Unlike traditional host security measures that emphasize boundary defense,container securityplaces greater emphasis on runtime and overall security protection.From an offensive and defensivestandpoint,this paper proposes a detection study targeting the high-risk attack method of memory
4、Webshell attacks in container environments.Key words runtime application self-protection;memory protection;attack-chain detection andresponse;memory Webshell detection;container security摘要容器成为支撑云计算应用运行的重要载体,容器安全变得越来越重要.频繁爆出的容器安全事件让容器安全防护的研究刻不容缓,与传统的网络安全防护重视边界防护不同的是,容器安全更重视运行时和整体的安全防护.从攻防的视角出发,提出了一种针
5、对容器环境下比较高危的攻击手段内存Webshell攻击的检测研究方法.关键词运行时程序自保护;内存保护;攻击链检测与响应;内存Webshell检测;容器安全中图法分类号TP309.2近年来,随着新型基础设施建设的深入,企业数字化转型进一步加快,Docker 作为一种内核轻量级的虚拟化技术,可以应用于软件开发、大规模集群管理和云计算等领域,而其简单、易用和轻量收稿日期:2 0 2 3-0 8-10通信作者:杨芳()引用格式:姚纪卫,王伟,杨芳.基于RASP技术在容器环境的内存Webshell检测研究 J.信息安全研究,2 0 2 3,9(10):947-953化的属性让越来越多的企业采用容器化部
6、署模式,容器成为支撑应用运行的重要载体,容器安全也变得越来越重要.首先,容器直接运行在宿主机操作系统上容易出现逃逸风险;容器镜像也存在网址http:/ 卷第10 期2 0 2 3年10 月Journalot Information Security ResearchVol.9No.10Oct.2023风险,镜像的构建和镜像中的软件存在被攻击风险.其次,容器和编排平台安全也存在挑战,包括组件漏洞威胁、集群化部署带来的横向移动攻击威胁等.此外,还有容器运行时安全也值得关注,一方面传统的攻击手段依然可以对容器造成威胁,另一方面集群API调用、特权容器等让容器面临更复杂的新型攻击.容器安全事件曾被多次
7、曝出,如CVE-2019-14271,C V E-2 0 19-57 36,C V E-2 0 2 0-152 57,CVE-2022-0492等漏洞攻击.本文所研究的方向是容器环境下的内存马攻击检测防护,内存马攻击本身的破坏力比较大,在容器环境下内存马攻击的危害会更严峻.传统安全更重视边界防护,传统主机安全防护能力难以在容器层发挥作用,而云原生容器安全更需重视运行时的整体安全防护,因此本文提出了一种基于RASP技术在容器环境下的内存马检测研究思路.相关研究1.1容器安全陈伟等人1认为容器安全风险包括容器镜像安全风险、容器虚拟化安全风险、容器网络安全风险和容器服务稳定性风险;刘晓毅等人 2 从
8、容器云安全的国内外标准建设、容器云安全产品及容器云安全风险分析出发,提出了容器云安全防护体系的能力要求,认为创新有效的容器云安全防护思路、方法和手段比较少;郑尚卓等人3 则提出了融合区块链技术在云端平台构建虚拟链,可以提取容器云运行过程中发生的网络安全事件链,优化安全管理框架;边曼琳等人 4 的研究证明Docker中部分伪文件系统没有实现隔离,因而容易造成宿主机信息泄露,引发恶意容器同驻、同驻容器DOS攻击等问题;崔辑等人 5 对容器安全风险进行分析后认为通过采用Logistic-ARMA预警模型和BERT序列标注,可以对OpenStack云平台下的DOS攻击、容器逃逸等恶意攻击进行有效监测.
9、1.2内存 Webshell内存Webshell是一种无文件马,攻击方通过操纵漏洞利用程序、合法工具和脚本,可以破坏系统、提升特权或在网络上横向传播恶意代码,并在执行后采取尽量隐藏自身或清除自身的手段,使9481其难以被检测,以门户网站为例,其服务直接暴露在互联网环境,十分容易成为红队攻击目标,使用内存Webshell的攻击手段可以轻松绕过现有的安全防护体系,达成攻击目的.张金莉等人 6 1提出一种基于RASP的动静态结合的高对抗内存型Webshell检测技术,其核心思路是基于RASP技术和文本特征的深度学习静态检测算法提高检测率.该方法存在的局限性在于强特征依赖,抗恶意代码变异的能力不佳,同
10、时在容器环境下不适用.本文团队姚纪卫等人7 在早前的研究中曾提出基于内存保护技术的方案可以较好地检测并防止内存Webshell攻击行为,其核心思路是通过监控内存访问和程序执行等行为并进行行为关联分析,以此判断内存访问行为及程序执行行为的合理性,识别出异常内存访问或恶意代码攻击行为1.3RASP 技术近年来,Web应用层的对抗失衡问题愈演愈烈,ApacheLog4j开源组件和Spring开源应用开发框架相继被曝出高危漏洞,其波及范围之广、危害之大引发各界对开源组件ODay漏洞的担忧.应用程序防火墙(Webapplicationfirewall,W A F)一直以来被认为是抵御Web攻击的有效防护
11、手段,但是WAF在ODay防护上显得力不从心,应用运行时程序自保护(runtimeapplication self-protection,R A SP)的出现成为解决Web防护的新技术而迅速在业内推广.2 0 12 年,Gartner分析师FeimanC8阐述了RASP是一种主要用于在应用程序内注入安全功能的技术,可以用于检测和防止应用程序级人侵.该技术结合多种安全技术的优势,在运行时对代码进行分析和采取行动实现对应用程序的自我保护。在RASP技术应用方面,李佳文等人 9、邱若男等人 10 1的研究主要是基于RASP技术设计JavaWeb应用安全防护,李佳文等人 的检测研究思路结合了特征和行为
12、检测,邱若男等人 10 将RASP探针植人到JavaWeb应用程序的服务器层、框架源码层、表达式语言层和JDK底层行为监控层,实现对JavaWeb框架漏洞的检测.沈伍强等人 11则是通过RASP探针注人Web服务应用内部进行监测,基于KMP算法和过滤机制对SQL注人和XSS攻击等恶意攻击代码进行检测和防御.该方法的核心优势在于准确率高,但是可能存漏洞挖掘与威胁检测专题.Issueon Vulnerability Mining and Threat Detection在性能损耗大和其他漏洞不适用情况.王奕钧 12 从“三化六防”的视角分析并总结了RASP技术在关键信息基础设施防护中的局限性,该技
13、术对于漏洞检测、Webshell检测具有优势,但也不是万无一失的,如RASP技术在函数监控不全、函数参数混淆、loader型函数、LD_PRELOAD等方面的局限性明显,RASP技术的应用还有研究空间.2本文方法检测原理和模型方法设计2.1检测原理从基于容器环境下的内存Webshell攻击原理和表现来看有2 类攻击行为:一类攻击是先上传Webshell文件到目标容器或主机上,然后基于已经上传的Webshell文件建立与攻击者本地的加密连接,然后通过此连接注人内存马,注入完成后删除此Webshell文件;另一类攻击是先利用业务程序中加载组件的安全漏洞,如Log4j2组件的远程代码执行漏洞(CVE
14、-2021-44832),然后利用此漏洞构造恶意请求直接注入内存马.在上述2 类攻击行为中,攻击者可以使用Java Web容器自身的特性,如 Java Web 的 Listener,Filter,Se r v le t组件提供的动态注人机制注人内存马,此时在Java线程的执行路径上可以看到关键函数被调用,如 org/apache/catalina/core/ApplicationFilterChain类的internalDoFilter函数,也可以使用与编程语言和运行环境自身的特性,如Java Agent攻击,依赖jvm提供的Instrumentation机制,此时的关键被调用函数为java/
15、lang/instrument/ClassDefinition类的init函数.此外,对于已经驻留的内存Webshell,其表现为有运行时的类元信息,但在磁盘上无对应的Webshell文件存在.从上述攻击行为特征来看,可以从如下维度进行内存Webshell 的检测:1)从文件维度进行分析;2)从单次行为维度进行分析;3)从多次行为维度进行分析.从攻击的过程来看,检测能力需要在如下关键时机点发挥作用:1)当检测程序运行时,需要检测目标Java进程是否已经被内存Webshell攻击过,主要判断JVM中是否有驻留的内存马;2)当检测程序运行时,同时需要分析当前Java进程是否有被内存Webshell
16、攻击的风险,主要是对进程的软件成分和版本识别是否有漏洞存在;3)在检测程序运行过程中,需要实时检测是否有内存Webshell攻击发生,主要检测点有是否生成恶意JavaWeb组件,是否有敏感操作行为,是否有其他可疑行为;4)当疑似攻击已经发生时,需要详细记录攻击过程、请求信息、类文件等信息,及时进行告警,并协助进行溯源分析和风险消除.基于上述分析维度和检测时机点,需要建设如下基础能力:1)Java Web进程工作目录Webshell文件检测能力;2)Java Web进程的软件成分分析能力;3)Java Web进程已加载类的Webshell检测能力;4)HTTP请求的调用链上下文提取技术;5)敏感
17、操作的感知能力;6)攻击链检测和详细记录能力;7)容器运行时监控能力.结合容器中Web应用自身的特点,设计方案时需要注意如下几点:1)能适配常见的容器类型和版本;2)能适配常见的JavaWeb中间件类型和版本;3)能在容器中直接部署,或者通过容器镜像部署;4)严格的性能损耗控制.因此,设计方案的核心技术指标如下:1)已驻留内存Webshell检测能力;2)实时内存Webshell攻击检测能力;3)进程软件成分分析能力;4)Webshell文件检测能力;5)检测程序的性能以及对业务进程的性能损耗,包括CPU利用率和内存占用率,2.2模型方法设计本文方案主要是为了解决容器环境下Web运行时安全问题
18、,从静态资产和动态进程2 方面进行防护:静态资产方面包括Web资产清点、Web后门检测;动态进程方面包括已驻留内存马的检测和实时攻击的检测.对于可疑内存Webshell注人攻击的判断会动静结合,参考Web后门检测结果,对Web后门的检测时,也会参考疑似后门文件的实时访问请求记录和上下文.本文方案提供的安全能力主要包括2 方面:1)基于RASP技术的Web进程实时防护,包括对普通Webshell攻击和内存Webshell等高级威胁的检测;2)基于动静结合的Web资产保护能力,包括Web资产清点、Web后门检测.针对容器环境内的Web应用提供安全防护,整体方案架构如图1所示.整体上看,本文方案核心
19、工作可以分为4个子流程,如图2 所示.网址http:/ 卷第10 期2 0 2 3年10 月Journalot lnformationSecurity ResearchVol.9No.10Oct.2023浏览器容器环境HTTP请求Web空间目录Web进程自研代码业务层字节码编译执行第三方组件应用层字节码Web容器系统层接口配置文件Web资产保护图1本文整体方案架构控制和展示中心RASP工作进程实时防护通信稳定性保护安全策略通信Web资产清点Web后门检测启动RASP进程识别当前的容器环境,探测可以保护的工作进程识别进程的工作目录和已加载的文件分析目标进程的软件成分和版本与漏洞库比对,判断各软件
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 RASP 技术 容器 环境 内存 Webshell 检测 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。