frp是一类能够实现高性能内网穿透和反向代理软件,通常支持TCP、UDP、HTTP、HTTPS等多种协议,且支持P2P通信。此类软件工作原理如下:
- 服务端运行,监听一个主端口,等待客户端的连接;
- 客户端连接到服务端的主端口,同时告诉服务端要监听的端口和转发类型;
- 服务端fork新的进程监听客户端指定的端口;
- 外网用户连接到客户端指定的端口,服务端通过和客户端的连接将数据转发到客户端;
- 客户端进程再将数据转发到本地服务,从而实现内网对外暴露服务的能力。
攻击者可能利用内网穿透技术在未经授权的情况下进入内部网络,导致系统受到入侵或数据泄露。作为关基单位,如果未对内网穿透进行正确的安全配置和保护措施,则极易对关基设施运行产生负面影响,形成安全隐患。
关键信息基础设施在当代社会中扮演着至关重要的角色,针对关基设施、关基单位的攻击不断增加,其中包括攻击者可能利用内网穿透功能伺机实现对系统的远程控制、数据窃取、破坏或篡改等行为,导致关基设施瘫痪、服务中断,给国家、关基单位及社会带来不良影响。
某央企关基单位真实案例
背景描述
某央企关基单位的总部和分公司全面部署了科来设备,某分公司在通过科来设备进行防火墙策略梳理与资产梳理的过程中发现一台内网主机存在异常流量,疑似有外联行为。
科来工程师经过一系列的流量分析确认该主机存在异常外联,同时锁定外联IP,并通过内网横向流量分析,找出全部涉事主机及相关外联IP。后对包括总部及分公司在内的多台涉事主机进行科来全流量回查分析等操作,最终揪出异常程序,保障该关基单位业务安全运行,降低数据泄露风险。
分析过程
在对某分公司进行防火墙策略梳理和资产梳理过程中,发现某内网主机的流量存在规律性外联的可疑行为。
通过对该内网主机的流量进一步分析,确认该主机存在保活通信行为和frp通信行为。
科来工程师立刻告知该关基单位安全运维人员,对主机做紧急下线处理,并对该可疑外联流量及IP进行回查分析,锁定了多个与该IP通信过的内网服务器IP。科来工程师建议对所有主机进行排查。
该用户总部和分公司在内外网各个节点全量部署了科来设备,能够全面监控到内网主机之间的流量动向。首先,通过科来设备将与外联IP有过交互的主机排查出来,发现多台内网主机。逐一对涉事主机相关会话进行全流量分析和回查,确认均存在基于frp进行保活性质的网络通信行为。
之后,对所有感染主机的内网横向流量进行回查分析,未发现异常的横向行为,但这些主机存在潜藏隐患,有可能被不法分子利用,控制发起外联行为。
最后,科来工程师协助安全运维人员,在最先发现的问题主机上通过科来网络分析系统分析其异常通信流量,发现对应进程为一款影视播放软件,是使用者通过网络自行下载安装。
该关基单位安全运维人员依据科来提供的所有涉事主机IP对使用人进行通知,要求自查删除该软件,并做主机下线处置、对外联IP封禁等操作。
同时,将该frp特征值添加到科来设备的特征值告警中,并将规则库更新至最新版本,后续一旦有其他主机出现frp外联会触发告警。
分析结论
该软件是一款绕过会员限制的影视播放软件,此类“免费陷阱”很可能存在较高的安全风险,由于安装时不会立刻发生frp外联,只是有规律的对外发起保活性质的数据包,一般情况下不会触发告警,但会长期潜伏可能被不法分子利用。建议用户要谨慎安装此类软件。同时,及时将科来规则库更新至最新版本,防患于未然。
价值:科来全流量让潜藏于关基单位中的安全威胁无处遁形
此次事件是通过科来的资产梳理和防火墙策略梳理发现了设备异常,后续通过科来全流量技术准确排查出所有感染主机,高效的处置得益于该关基单位在各个节点全量部署了科来设备,完整的部署能够使用户更详细的了解内部设备的真实情况,最后通过科来网络分析系统锁定了异常进程,真正做到安全监控无死角。
科来网络全流量分析技术的全量采集、全包存储、全协议解析能够准确发现网络中各种隐蔽、狡猾的异常通信和攻击行为,帮助关基单位进行资产识别、防火墙策略梳理、异常检测、应急响应处置,包括攻击过程回查及处置效果评估,有效应对潜在的安全威胁,保护关基单位信息数据安全。
潜藏安全风险排查或
了解更多科来关基安全解决方案
请拨打400-6869-069或公众号后台留言联系我们
– End –