OK! 這標題聽起來可能太嚇人了! 但沒錯,CWE-117 這個小小的缺失就可以導致公司的 Incident Response Plan 被 Hacker 破壞掉! 我們一起來了解這個問題吧!
此篇文章會提到:
- 紅藍隊各自在幹嘛?
- 什麼是 Incident Response
- Example: AWS Compromised EC2
- 從攻擊面看 Incident Response
- CWE-117 Improper Output Neutralization for Logs
- CWE-117 – 栽贓
- CWE-117 – SOC 大驚小怪
- CWE-117 – 解法
紅藍隊各自在幹嘛?
在公司中,資安團隊通常會被分為紅隊和藍隊兩個隊伍,兩個隊伍一起努力讓公司的資安變得更加穩固。
紅隊負責公司內部的
- 攻擊找漏洞
- 滲透偷資料
- 研究 Zero Day
- 想方設法的偷看
藍隊負責公司內部的
- 惡意行為防禦
- 惡意軟體與行為偵測 ( Thread Hunting )
- 研究 Zero Day
- Forensics
- 事件反應!!
什麼是 Incident Response
Incident Response(事件回應,之後簡稱為 IR)是當公司收到資安事件時,需要迅速採取的一系列動作、策略,在公司中會將這些策略寫成 Incident Response Plan,並受到法規的保護。 (IR 就是標題的 「唉啊」XD,我超愛諧音梗XD)
IR 的目的就是迅速止血,防止資訊繼續向外洩露或是系統持續受到損傷! 通常會包含下列的幾個方向:
- 制定標準流程:制定並維護一個完整的 Incident Response Plan(IRP)
- 偵測:防範大於一切,通常會透過入侵檢測系統(IDS)、入侵防禦系統(IPS)、安全資訊和事件管理(SIEM)等系統的合作去持續偵測系統是否藏有惡意程式或是惡意行為
- 評估以及行動回應:根據訂定的 Plan 去做相對應的處理
- 修復: 將被攻擊的系統復原,避免使用者無法使用系統
- 檢討: 檢討也包含了數位鑑識,要了解之前環境是怎麼被打爆的,才可以防止下一次再被打爆
Example: AWS Compromised EC2
我們來看一個實例比較好了解整個 IR 到底在幹嘛!
- Capture instance metadata
- 開啟終止保護 畢竟我們不想要珍貴的證據被銷毀,很多證據在 EC2 termination 後就會直接消逝了!
- Isolate instance 孤立受傷的 EC2 把 SG 替換掉,拿掉 Outbound 孤立是很重要的一個步驟,就像確診一樣要隔離,不希望資訊持續外洩,也不希望病毒擴散出去或是讓駭客可以以此EC2做為跳板進而偷取其他資訊
- 把 Instance 從 ASG, ELB 裡面拿出來
- Snapshot EBS Volumn 此步驟之後可以做 Forensics deep analysis,可以複製硬碟讓我們後續深入了解問題在哪 可以稱為數位蒐證
孤立後交給專業團隊做數位蒐證是一件非常重要的事情! 可以對 EBS Volumn 做蒐證,也可以 dump memory data 後做分析,這樣才可以更理解究竟是如何被打破防線的
這只是 EC2 被打爆後的一點點事件反應,真實世界的處理會更複雜,所以在事件發生之前先做好 IR Plan 是件好事 從上面的流程也可以發現,在資安檢測系統發現系統被入侵後會做一連做的處理,更何況還需要通知各團隊,一次資安事件會耗費大量的人力和資源去處理,而這次要介紹的 CWE-117 也是針對這樣的資源耗費去作為基礎點來攻擊的!
從攻擊面看 Incident Response
以攻擊面來看,可以發現當惡意行為被抓到後,會有一連串的 Incident Response 去處理 那如果我們可以給檢測系統一些假的入侵情報呢?是否可以浪費對方的資源去處理假情報呢?
CWE-117 就是利用我們開發者的一些疏失,讓駭客得以製作假的情報並投入我們的 Log 中,這樣檢測系統就會看到假的、錯誤的資訊,並且耗費不必要的資源去處理了