最近
蓝盟服务台负责安全的小伙伴收到了一家部署了
蓝盟IT外包服务器安全防御系统的客户的服务器发出的反弹shell的报警信息,服务台的小伙伴是第一次看到反弹shell的报警,有点惊慌,急忙降事件升级汇报。说到这咱们先讲讲什么是反弹shell,反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。简单来说就是被控制端主动连接控制端来达到远端控制的目的。这么说有些抽象咱们举例说明。
假设我们攻击了一台电脑,打开了电脑的一个端口,攻击者用自己的电脑去连接目标电脑,这是比较常见的形式,称作正向连接。RDP、http服务、ssh、telnet等等都是正向连接。那么什么情况下正向连接不能用了呢?
1.某电脑中了你的木马,但是它在局域网内,你直接连接不了;
2.目标电脑的ip是动态地址,无法持续控制;
3.由于防火墙等限制,对方电脑只能发送请求,不能接收请求;
4.对于病毒,木马,被攻击者什么时候能中招,它的网络环境,什么时候开关机等等都是未知的,所以建立一个服务端让攻击程序主动连接,才是效率最高的。
那么反弹就很好理解了,攻击者指定服务端,受害者电脑主动连接攻击者的服务端程序,就叫反弹连接,通常用于被控端因防火墙受限、权限不足、端口被占用等情形。
科普之后,大家会知道反弹shell是一种攻击者的攻击手段,也难怪服务台小伙伴大惊失措了,不过先别急,我们先来查查看:
报警信息很明确,compattelrunner.exe使用tcp协议连接52.139.168.125:443端口,检查这个可执行文件的签名是微软官方的没问题检测52.139.168.125属于微软云的地址,针对地址也进行了恶意url扫描,同样检测全部正常:
那么问题来了,这是个什么东东?其实这个是微软的遥测服务,52.139.168.125是微软的遥测服务器的群集地址(compattelrunner.exe是微软兼容性检测工具,收集信息发送给遥测服务器),它是微软内置在该公司各类软件和操作系统里的服务,旨在收集用户使用数据用于分析和改进产品等。
分析到这步,服务台的小伙伴长舒了一口气,同时也有点失落的说“我以为我亲手抓住了一个黑客的小尾巴呢!”“安全的最高境界是防患未然,治未病,没有攻进来才是最佳安全状态”安全的宣贯工作还是不能放松啊,呵呵。
不过微软的遥测服务收集数据通常会牵涉到隐私问题,毕竟在后台的进程直接链接微软遥测服务器传输数据,普通的防病毒软件或者防火墙根本无法识别这种行为,到底上传了哪些数据,微软官方也没有明确的公示,而且作为最终使用者,windows并没有一个很友善的界面进行提醒或者让最终用户可以方便的关闭或者选择哪些数据可以上传,所以事实就是尽管微软承诺都是脱敏数据但还是有很多用户认为关闭遥测才安心。
最新情况是欧盟数据监管机构调查后认为微软遥测类的服务仍然违反GDPR相关规定,尽管微软始终认为自己走在欧盟通用数据保护条例的最前沿,但监管机构调查发现微软仍有存在违规的各类问题。这些问题多数都是围绕微软遥测服务产生的,而在这个过程中用户产生的私密信息就有可能被微软获取,但对于绝大多数用户来说是无法拒绝使用遥测服务的。
对服务器安全防御系统感兴趣的朋友请联系蓝盟IT外包进行咨询。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
