NSC2015馬坤:基于眾籌插件模式的分布式安全掃描平臺
責編:penggao |2015-07-03 17:50:42馬坤:大家好!我叫馬坤,來自西安,下面跟大家分享我們的一些模式。四葉草安全是個以安全服務為主的公司,目前公司分為三塊,安全服務、產品研發、攻防實驗室。當然,產品現在會比較多,基于眾籌模式的掃描平臺我們是在2015年2月份剛剛公開,9月份、10月份我們會陸陸續續公開其他的產品,這些產品基本是免費的,因為我們在給服務做鋪墊。
現在安全市場越來越細分,有烏云、威客眾測、SOBUG、FreeBuf各種各樣細分化的產品都在出來,當然越細才能越專,我們現在這條路上其實也是很弱的,也是得益于各方面有一些優勢的插件作者們給我們提供了大量的思路,所以才能把它串成一個非常強悍的產品。
今天的議題是基于插件眾籌的分布式漏洞掃描平臺。可能掃描大家很熟,它就是發現問題,安全掃描里第一步就是要發現問題,現在問題太多了,尤其是應用一多,安全隱患就會越來越多,當然像各大安全公司都有他們的絕招,也有他們的防范方法,但每次都是一個漏洞暴露出來三四天以后可能才會有解決方案,而且基于APT長時間的蹲點攻擊,他們發現的速度是很慢的。我個人是從2001年開始接觸安全,從最早的HOC到后來的火狐,再到后來我們自己去辦公司,帶團隊,也是一直在想一種辦法,怎么樣能結合一些比較強的黑客辦法去解決隱患,于是就有了今天我們第一次把這個產品搬到臺面上的沖動和想法。
今天我帶著我們產品的創始人,也是我們公司的CTO在臺上去說,這個產品功能和特點主要他來說,也希望在說的過程中大家能夠借鑒這種模式,也去衍生更多細分化市場領域的產品。
2014年,爆發了一個非常嚴重的漏洞”心臟出血”,在64K內存里讀取一些敏感信息,不停地去刷,這個隱患非常大,基本上當時都中招了。再像后面的Bash破殼漏洞一些專門做安全的廠家他們的邊界設備,比較老的一些交換設備都有過沖擊,當然這些漏洞出來了以后并沒有一種快速有效地發現和防范他們的辦法。
根據CVE漏洞的統計,從1999年一直到2014年,漏洞的增長基本到達頂點7145個,這說明了現在我們漏洞越來越多,攻和防的較量也越演越烈。對于以前混跡于各大安全圈的人來說可能很熟悉,攻和防不對等,防永遠沒有辦法比攻快。
怎么樣越來越快呢?我們就黏了一些人,在幾年前大家一起把思路和想法結合到一起,做一個能發現問題的產品,基本全站工程師我們是很多的,還有在滲透領域時間比較長的同事,其中我們產品的作者一會會給大家仔細介紹我們的產品特點。
產品發布之后我們緊接著做了一個圈子,就是針對一些社區,大家可以對一些漏洞進行發表和討論,國外有MSF、NetSaaS(音),國內有烏云,烏云做得也不錯,更偏重于漏洞發現的報料和漏洞的報道,我們更多傾向于大家的學習和研討,像基于協議的,基于算法的,包括底層二進制、前端Web,還有對漏洞有快速反應和響應能力的小伙伴們。剩下的時間交給產品的框架負責人趙培源,網名叫”半塊西瓜皮”,他來給大家詳細地說一下我們這種模式的特點,也希望在座比較優秀的,對安全有興趣的同行們可以基于這種思路衍生出更多對我們國內或整個行業能夠有促進力量的產品。歡迎我們的CTO趙培源!
趙培源:大家如果做過滲透或者安全服務對這塊可能會非常感興趣,這頁PPT是我們能對現在這些系統服務,第一能做弱口令掃描,還有它相關的漏洞,比如Host數據庫,對MongoDB的未授權服務,各種技術服務FTP Telent、SMP、RSNC等等都可以做弱口令掃描,如果你以前是用網上流傳的各種exe和各種腳本去掃,現在可以用我們的掃描平臺就可以對它統一進行掃描。
除了網絡服務和Web組件,比如Nginx,提到Nginx大家可能都知道Nginx解析漏洞,Nginx CGI導致任意代碼執行,IS寫和IS7以上默認配置它有個報路徑的漏洞,再有php的彩蛋可以泄露php的版本信息,然后是一些Web框架,比如Jboss、thinkPHP、Struts2都有代碼執行的漏洞,這些我們現在都可以做到檢測。再有一些知名的SM程序WebPrass,WebPrass有將近100多插件可以檢測WebPrass本身和插件主題的漏洞,還有phpMyAdmin,主要是以弱口令,phpMyAdmin是有三種驗證方式,第一種是直接配置,你直接訪問可以登錄進去;第二可以設置成基礎認證;第三種是普通的表達。這三種都可以對它進行驗證,包括Ecshop(音)、DZ、DODOCMS(音),這三個至少每個都有十幾個插件去檢測漏洞。
我們掃描平臺還有傳統的一些掃描特征,比如子域名、目錄遍歷、服務識別、內容文件下載、端口掃描、保存信息抓取、后臺猜解等等,我們統統是以插件的形式實現,除了上面說的,還有一些網絡設備,比如D-Link Boxone的后門我們也可以檢測,還有網康科技、天融信他們的弱口令檢測、應用文件下載、未授權訪問,還有海康威視,大家可能也聽說過”黑天鵝事件”我們也能檢測。還有最近有人提交磊科的,我們都可以檢測。
掃描器的特點。
核心引擎因為使用Python編寫,不受操作系統限制,可以在任何平臺下,無需第三方的安裝包都可以直接執行,這也是我們比較有亮點的地方,第一它非常輕量化,不需要任何權限和管理員權限;第二它不用寫文件;第三它只需要一條命令就可以部署一個掃描節點。我們的掃描節點你可以對每一個節點設置一個它能同時掃描的數量,我們的掃描平臺會根據你的數量自動進行負載均衡,保證掃描速度到達最快。
云插件,插件是眾籌的模式,所有人都可以貢獻自己的插件,插件上傳完之后,通過我們審核人員審核通過之后就可以自動更新到各個掃描節點上,最近還實現整個掃描框架本身的自更新,當你執行完一條命令之后,它之后完全就不需要你再管了。
漏洞庫,它使用了爬蟲去爬各大漏洞庫的信息,現在已經有2萬多條漏洞庫。它的主要目的,我們插件作者寫插件時可以參考漏洞庫進行編寫。
我們服務器框架前端使用了angularjs和raster(音)技術,后端使用了go語言。為什么使用這兩個呢?因為angularjs是在前臺建成模板,后端構遠它只負責數據的處理和發送接收,所以只需要第一次打開有點慢,后面速度非常快,這樣保證了我們可以承受更多的用戶,更多的節點進行并發,執行任務。
我們掃描器的界面,右邊通過任何方式都可以進行登錄。這是我們的添加任務,也相當簡單,左上角填寫一個IP地址或網址,設置你要掃描的項目,通過下面紅色區域,執行這條命令就可以部署一個掃描節點。這兒有10個掃描節點,等于當你添加任務非常多時,它的任務會通過負載均衡分發到這10個掃描節點,掃描節點把掃描出來的漏洞信息會傳回到服務器。還有具體的配置,比如你要掃描子域名,深度端口的掃描,設置UA,設置暴力破解的字點,登錄以后的Cookie等等。
插件庫,這邊有代碼的,可以直接查看原代碼驗證中的有些問題,代碼下線它可能就重復了,我們可以對它進行下線的處理。已經有514個插件,是6月17日的數量,現在應該有530個左右。這個插件非常簡單,它整個功能實現了DZ暴露鏡的功能,只有兩個函數,一是Service接受DZ的屬性,ARG它就是DZ的一個根目錄;二是用來驗證你當前掃描的DZ是不是能暴露出物理路徑,它訪問URL,再通過終端匹配可以把路徑暴露出來,下面是你可以下載我們的SDK進行本地測試,這里本地測試之后把物理路徑打印出來。所以,要寫一個插件,特別是Web這類插件是非常非常簡單的。漏洞庫現在已經有2萬多條可以進行搜索,也可以根據上面的CMS分類進行搜索。
這是我們的掃描報告,掃描之后報告呈現是這樣的,橙色是高危,紅色是中危,剩下的是低威,可以看到每個掃描所用的時間,開始時間和結束時間。它企事業可以掃描內網,比如19.168.0.150或者127.0.0.1,它的意思只要節點能訪問的目標它都是可以掃描的。當然,這兒提供的是,內網部署節點之后可以掃描整個C段,這是我們的掃描記錄,這是SMB08067漏洞,這是系統服務的漏洞,還有BASH破殼漏洞、心臟出血漏洞我們統統都可以掃描,這兒只展示了一部分。
還有一些圈子,有這么多板塊,包括插件編寫教程、插件本身還有公告,最后還有高級板塊,這兒主要是為插件作者和掃描平臺的人提供交流反饋的地方。前期有這么多小伙伴寫了這么多插件編寫教程,包括一些技巧。
我們掃描平臺的時間線,2015年2月5日BugScan正式上線,開放注冊1周,注冊人數就突破2000元,因為人數太激增了,之后我們就改成邀請碼注冊的階段,現在如果你想使用我們的掃描平臺必須先寫一個插件就可以獲得邀請碼。2015年4月1日圈子上線,是業界第一個基于掃描框架和插件研究的圈子。2015年6月1日我們的掃描插件由90個增長到500多個,注冊人數現在增加到8000個。現在掃描超過100萬的目標累積有600萬的漏洞信息,這是一個非常大的量。
歡迎大家使用我們的掃描平臺,這是我們的網址www.BugScan.net。謝謝!