谁入侵了我的主机？

编者按

数字化浪潮蓬勃兴起，企业面临的安全挑战亦日益严峻。

腾讯安全近期将复盘2022年典型的攻击事件，帮助企业深入了解攻击手法和应对措施，完善自身安全防御体系。

本篇是第九期，讲述了某游戏厂商被入侵后植入rookit木马，黑客隐藏掉了自己的访问足迹，在多台主机上留下后门，来去自如。客户已经大概知道它从哪里攻进来，但就是没办法把它请出去。

腾讯安全专家团队接到客户应急响应需求，迅速赶往现场，并凭借着丰富的经验，成功将病毒从机器上连根拔起。

傍晚6点，当20出头的zhipeng顶着一张稚气未脱的面孔出现在办公楼大堂里，来接他上楼的某游戏企业IT部经理蔡工脸上闪现了一丝转瞬即逝的怀疑：我们一个星期都解决不了的难题，这个“小朋友”能解决吗？

这种怀疑只停留了一会儿，他目前还没有时间去想这些问题。在接zhipeng去22楼IT部办公室的时候，他们从电梯里开始交换信息，到会议室的时候，zhipeng已经大概知道了概况：7天前，客户收到“云镜”（腾讯云主机安全产品）的站内信，提示云主机有被入侵的痕迹。收到提醒后，他们把云上和本地数据中心全部排查了一遍，发现本地机器上也有多台机器失陷。他们处理了7天，仍然没能阻断黑客的活动。

“3月份的时候我们内网被入侵了一次，但是没有彻底清理干净，有一台测试机器存在安全隐患，但上面运行着业务部门很重要的一些应用程序和数据，他们不同意下掉，这台机器一直就暴露在公网上，黑客应该就是从这里作为跳板攻进来的。”蔡工向zhipeng介绍情况。

黑客进来之后收集了很多内网主机的账号密码，对其他主机进行暴力破解登录，并在不少机器上留下了后门，可以随时自由出入，如入无人之境。现在，虽然蔡工他们大概知道了黑客从哪里攻进来，但是对于如何把黑客“赶出去”不得其法。

“我们用漏洞扫描工具扫了，病毒查杀工具也查杀了，发现有残留黑客工具的主机也进行了网络隔离或重装，做了我们所有能做的努力。”在过去的一周内，他们通宵达旦，用上了所有已知的处理方法，但是每次清理完不久，黑客又会不请自来。

zhipeng听着IT同事说明情况，一边翻阅他们之前的处理日志，一边和腾讯云鼎实验室总部的攻防团队沟通得到的信息。两个小时的沟通和研判后，他心里已经知道了大概：这是一个难处理的rookit木马攻击。

zhipeng介绍道，市面上常见的攻击方式，无外乎命令劫持或者是命令替换、预加载劫持、dll劫持等，可能只是去替换了系统文件，或者修改预加载的环境变量来实现命令的劫持绕过，一般不难处理。但是在这个事件中，黑客使用的rookit劫持了系统内核，做了很高级的隐藏方式，把木马的进程文件全部隐藏，把系统的关键函数直接hook掉了，用常规的排查手段排查不出来。这也是为什么客户努力了一周也没有解决掉这个木马的原因。

不光是这家游戏厂商，换作大部分其他企业，哪怕是一些IT团队精兵强将的大企业也未必能处理。安全易攻难守，攻击者可以以很低的技术成本从公开渠道上找到rookit木马作为攻击武器，但企业作为防守方要想“解题”，必须要懂安全攻防、懂操作系统内核，这种技术人员是稀缺的，基本上只有专业的安全厂商或者长期暴露在黑客视野、拥有丰富的攻防实战的互联网企业才有这样的人员储备。

“我们因为平时处理云上很多应急的案例，见得多了，一看就知道这是什么类型的后门或者是木马病毒。”zhipeng说。虽然从业时间不算长，但是经历过几轮国家级重保项目的历练，他已经是一个训练有素的攻防专家。

这就像一个经验丰富的医生，对病情的精确诊断，直接缩小了治病的范围和难度。

为了检索到底有哪些服务器中招，晚上8点多，zhipeng开始写规则，蔡工则负责和运维同事一起将这些规则批量下发到云上和本地的机器上。这项工作有点像捕鱼，不同规格的鱼需要不同的渔网，而zhipeng是那个织网的人，他需要编织不同的渔网，把那些“鱼”——也就是失陷的机器捞出来。

规则有大类，一种是通用的攻击手法的识别，这部分相对容易处理。“有一些机器它被入侵之后，会有ssh爆破的记录，是非常明显的特征，我们就可以直接去也把它标记成被入侵的机器，这一批机器我们可以让运营部门做一个网络隔离的操作。”zhipeng说。

而在实际的攻防中，黑客会修改攻击手法，绕过检测，尤其是在这样一个涉及系统内核的rookit木马攻击中，黑客的手法比一般的攻击者更加高明。正所谓“一个好汉三个帮”，zhipeng需要和腾讯安全总部安全研究部门的同事一起分析从机器上得到的样本，提取一些特征，不断去优化规则，找出一批失陷主机；再织一个新的“渔网”，又找出一批。

（腾讯安全专家团队正在对病毒样本研判分析）

这个过程中，通过对病毒的逆向，zhipeng也证实了黑客攻击源头的确是3月份那台没有处理的测试机。黑客将该主机做作为跳板，进一步入侵内网其他主机，通过植入rookit木马，用反连的方式让内网主机持续向黑客所在的公网IP建立连接，让黑客得以随时进入内网——最终，zhipeng他们也将通过内网主机出网的通信流量来判断是否彻底清除了木马。

每一项规则的下发需要时间生效。凌晨三点，下发完当天最后一批规则，zhipeng打算去酒店休息，这时候才发现核酸失效，已经黄码了。那个晚上，zhipeng是在医院的黄码检测区度过的。

这项“捕鱼”的工作一直持续到第二天下午。“头一天的规则生效了，第二天我们根据总部提供的特征值，又下发了新的规则，才真正找出来来几台还残留木马的一些主机。”zhipeng说。蔡工和同事一起把这些感染的系统全部进行了系统重装，黑客留在机器上的后门也一并被删除了。

做完这一切，蔡工他们发现内部主机不再有和黑客IP建立网络连接的行为。“木马被我们彻底清除了！”蔡工看zhipeng的眼神，已经变成了由衷的赞许。

在此之前，出于成本的考虑和侥幸心理，这个游戏企业的本地机器都没有安装安全产品，处于“裸奔”状态。经此一役，蔡工向老板申请了主机安全产品采购申请，很快得到了批复。目前他们的重要的机器都已经穿上了防护罩。“教训摆在这里，以后再发生安全和业务冲突的情况，我想我们应该更容易说服他们了。”

回到文章开头的问题，让客户疑虑的这个20出头的“小朋友”，其实已经是一个名副其实的安全老手，他的经历甚至有古典主义黑客的色彩：并非科班出身，但因为兴趣驱使而选择了从事网络安全专业。zhipeng大学专业是软件工程，但是因为兴趣，从很早开始就自学网络安全，大二去了国内顶尖的安全技术团队实习，毕业后又来了大牛云集的腾讯安全。

“你们学校有网安兴趣社团吗，你一定是活跃成员吧。”小编。

“那个社团是我创办的。”说这句话的时候，zhipeng努力掩饰，但仍然闪现出了一抹少年人特有的得意。安全回归到本质是人与人的对抗，腾讯安全聚集了一群这样的人，这才是在攻防中制胜的真正秘籍。

文章来自：https://www.freebuf.com/