SOC平台案例：泰合安管平台针对利用struts2-048漏洞植入恶意软件的监测与响应

Posted 2021-04-28 启明星辰

1

案例概述

2017年7月7日Apache最新安全公告报出了CVE-2017-9791（S2-048）高危漏洞。根据获悉的漏洞信息，启明星辰泰合北斗团队迅速响应并定制了针对利用“struts2-048漏洞”进行攻击的关联分析规则场景，及时对部分已部署泰合安管平台的用户的关联分析规则进行更新。

2017年10月14日22时，在某企业安管平台发现了“L3_ADS_Struts2_S2_048漏洞利用”告警事件，该告警由之前定义的“L3_ADS_Struts2_S2_048漏洞利用”关联规则触发。北斗服务人员依托泰合安管平台并结合威胁情报信息，迅速对攻击告警过程进行追溯和分析，发现其WEB应用系统被攻击后植入GUIMINER恶意程序。

泰合北斗团队分析过程：

2

安全事件发现

2017年10月14日 22时，该企业用户收到安全管理平台产生的  L3_ADS_Struts2_S2_048漏洞利用”告警。

在运维人员的配合下，查实该企业WEB应用服务器上确实被植入了挖矿程序并执行。

 

 

3

安管平台事件分析过程

泰合安全管理平台的核心功能是收集用户业务环境中各类设备的安全日志，在采集层对日志进行过滤、归并、范式化、补全等一系列ETL数据处理过程，对日志数据进行降噪，保留有效数据；然后在平台分析处理层进行自动化、智能化的关联分析，发现真实的安全威胁，并协助运维人员对安全告警进行处置。

安全日志的采集

用户在网络环境中构建了纵深的安全防御体系，包括入侵防护系统（IPS）、抗拒绝服务攻击、WEB应用防火墙（WAF）和状态检测防火墙。泰合安全管理平台收集了用户网络环境中重要业务服务器、核心网络设备、全部安全设备和主要应用系统的安全相关的日志数据。

安全日志ETL处理

泰合安全管理平台对接收到的日志进行范式化解析，对原始日志中的重要字段进行提取，对日志中缺少的关键信息进行了补全。

   

事件关联分析

北斗服务人员根据S2-48的特征完善了之前针对Strusts2漏洞监控的规则 “L3_ADS_Struts2_S2_048漏洞利用”，关联规则分析场景的可视化编辑界面，如图所示：

 

网络扫描检测规则

 

Struts2 S2-048检测规则

生成告警与追溯

采集到的日志经过ETL处理后，将事件流转发至安全管理平台内存中进行实时分析，当事件条件匹配关联规则，就会触发对应的告警。

4

告警响应与处置

北斗服务人员协助安全管理员确定告警的真实性，详细处置如下：

告警真实性确认

泰合北斗服务人员通过以下过程协助安全管理员确认了告警的真实性。

   

◆ 协助用户对攻击目标WEB应用服务器进行检查，发现该系统使用了Struts2框架，版本为Struts2.3.15，存在Struts2-048漏洞。同时检查发现该服务器系统目录下已被植入guiminer挖矿程序。

告警响应与处置

安全管理员通过告警功能生成工单，指派给对应的资产负责人进行处理。完成派单后，系统会给工单处理人发送邮件和短信提醒。

本案例中，针对平台产生的“L3_ADS_Struts2_S2_048漏洞利用”告警，泰合北斗服务人员给用户告警的处置方案如下：

◆ 在互联网边界防护设备上，启用防护策略。对利于Struts2-048漏洞进行攻击的事件进行阻断；

◆ 对受影响的系统进行漏洞修复；

◆ 对受影响的系统进行全面的安全评估；

5

结束语

根据泰合北斗服务团队多年应用安全管理平台的经验，想要充分发挥安管平台的价值，体现平台在安全事件分析方面的效果，通常需要从项目建设与运维管理制度、安全管理组织、安全人员技术水平等几方面共同努力。其中安全技术人员需要了解最新的安全动态，及时调整安全防护策略和检测规则。

6

关于启明星辰泰合TSOC

安全管理平台

启明星辰推出的泰合信息安全运营中心系统（以下简称TSOC）是立足于公司二十多年信息安全积累的基础之上，基于客户最新需求推出的全新一代安全管理平台。

TSOC以IT资产为基础，以业务信息系统为核心，以用户体验为指引，从监控、审计、风险、运维四个维度建立一套可度量的统一业务支撑平台，使得各种用户能够对业务信息系统进行可用性、性能与服务水平监控，配置及事件分析、审计、预警与响应，风险及态势的度量与评估，标准化、例行化、常态化的安全流程管控，通过面向业务的主动化、智能化安全管理，最终实现业务信息系统的持续安全运营。

TSOC具有国内最广泛的应用范围和客户群，在政府、电信、金融、电力、军工、军队、媒体、教育等行业均有成功的应用。从2008年至今，启明星辰的泰合安管平台已经连续9年位居中国市场占有率第一名。

END