Security Center支援即時檢測資產中的安全警示事件,覆蓋網頁防篡改、進程異常、網站後門、異常登入、惡意進程等安全警示類型。通過威脅檢測模型,提供全面的安全警示類型檢測,協助您及時發現資產中的安全威脅,即時掌握資產的安全態勢。
功能概述
風險等級
Security Center將警示劃分為三個風險等級,以便您區分處理的優先順序。
風險等級 | 描述 | 處理說明 |
緊急 |
| 立即響應, 建議操作:隔離資產、阻斷可疑網路連接、儲存攻擊現場。 |
可疑 |
| 需要研判,檢查是否為計劃內營運操作。若是,建議將該行為加入白名單;若否,應按緊急警示處理。 |
提醒 | 警示行為是攻擊路徑上的非必經步驟,且與正常營運行為相似,例如“可疑的連接埠監聽行為”。 | 審計與最佳化, 用於發現不合規的配置或潛在風險點,建議定期審查並最佳化安全性原則,無需立即處置。 |
威脅檢測模型
Security Center通過380+威脅檢測模型提供全面的威脅檢測能力,覆蓋攻擊鏈路的關鍵階段,實現對攻擊行為的全鏈路檢測。檢測階段和模型樣本如下:
可以在安全警示頁面,單擊左上方
表徵圖,查看Security Center提供的威脅檢測模型。
初始入口:Java應用執行異常指令、Web漏洞利用等。
代碼執行:反彈Shell、惡意指令碼代碼執行等。
持久化:免密登入認證可疑寫入行為、Redis配置不當導致被利用等。
許可權提升:Redis配置不當導致被利用、越權執行高危命令等。
防禦繞過:Ram子帳號異地登入、可疑程式等。
憑據竊取:ECS在非常用地登入、ECS暴力破解成功等。
環境探測:OSS可疑訪問行為、疑似敏感連接埠掃描行為等。
橫向移動:蠕蟲、Windows異常網路連接等。
資料收集:連接埠掃描、疑似K8s服務中間人攻擊(CVE-2020-8554)等。
數據泄露:請求帶外攻擊(OOB)網域名稱、可疑中控木馬通訊等。
遠端控制:木馬程式、後門程式等。
影響破壞:DDoS木馬、勒索病毒等。
資源準備:自變異木馬、駭客工具等。
目標偵察:主動串連惡意下載源、掃描器等。
警示功能限制
Security Center旨在通過即時警示、漏洞管理及攻擊溯源等功能,加固資產安全。但鑒於以下限制,建議採用縱深防禦策略以提升整體安全性:
防禦啟動延遲:伺服器重啟後,Security Center防禦進程的啟動需要一定時間。在此生效前的間隙,無法有效攔截勒索病毒、DDoS 木馬等快速攻擊。
未知威脅風險:由於網路攻擊手段與病毒樣本持續演變,業務環境亦存在差異,Security Center無法保證對所有未知威脅的即時檢測與防禦。
為構建更全面的安全防線,建議將Security Center與以下措施結合:
定期補救伺服器作業系統及應用的安全補丁。
配合使用Cloud Firewall、Web Application Firewall等產品,以收斂網路攻擊面。
警示處理流程
版本支援
訂用帳戶
服務版本 | 檢測範圍 | 警示處置能力 |
免费版、增值服务版 | 雲上常見的簡單攻擊,包括傳統的一句話WebShell、非常用登入地登入、自變異木馬、DDoS木馬、挖礦程式等(不包含容器資產) | 警示免打擾:加白名单、忽略等。 |
防病毒版 | 免費版能力+可疑及惡意檔案(含二進位)相關的檢測與精準防禦模型(不包含容器資產) |
|
高级版 | 防病毒版能力+可疑及惡意進程活動、檔案操作相關的檢測與精準防禦模型(不包含容器資產) | |
企業版 | 進階版能力+380餘個針對進程活動、檔案操作、網路連接等所有惡意行為的檢測與精準防禦模型(不包含容器資產) | |
旗艦版 | 企業版能力(覆蓋容器資產)+容器逃逸、風險鏡像運行,非鏡像程式啟動等容器情境特有攻擊行為的檢測及主動防禦模型 |
隨用隨付
防護等級 | 檢測範圍 | 警示處置能力 |
未防護 | 雲上常見的簡單攻擊,包括傳統的一句話WebShell、非常用登入地登入、自變異木馬、DDoS木馬、挖礦程式等(不包含容器資產) | 警示免打擾:加白名单、忽略等。 |
病毒防護 | 未防護等級能力+可疑及惡意檔案(含二進位)相關的檢測與精準防禦模型(不包含容器資產) |
|
主機全面防護 | 病毒防護等級能力+380餘個針對進程活動、檔案操作、網路連接等所有惡意行為的檢測與精準防禦模型(不包含容器資產) | |
主機及容器全面防護 | 主機全面防護(覆蓋容器資產)能力+容器逃逸、風險鏡像運行,非鏡像程式啟動等容器情境特有攻擊行為的檢測及主動防禦模型。 |
安全警示類型
類型 | 說明 |
網路防禦警示(原攻擊分析) | 若啟用了主機規則-惡意行為防禦的网络防御類的規則和主機規則-防暴力破解策略,Security Center會根據這些防護規則自動攔截檢測出的攻擊,並產生網路防禦警示類型警示。更多內容請參見網路防禦警示(原攻擊分析)。 重要
|
精確防禦 | 惡意主機行為防禦功能根據設定開啟的防禦規則產生的警示,警示類型為“精確防禦”,關於惡意主機行為防禦功能介紹請參見主機防護設定。 |
異常過程行為 | 識別進程的異常行為,如執行可疑命令序列、從異常路徑啟動、進程注入,以及對系統檔案或配置的非法修改。 |
網路外殼 | 測伺服器上存在的WebShell後門檔案,或被植入惡意代碼的日誌、圖片等非程式檔案。 |
異常登錄 | 識別不符合預設策略的非常規登入、暴力破解成功,以及來自已知惡意IP或後門賬戶的登入行為。 |
惡意軟體 | 檢測主機上運行或存在的各類惡意軟體,包括病毒、木馬、勒索軟體、挖礦程式及駭客工具等。 |
雲產品威脅檢測 | 識別針對雲平台身份憑證(如AK)的盜用、濫用行為,以及對雲資源進行的異常配置和許可權探測。 |
網路連接異常 | 檢測到伺服器存在連接埠掃描、串連惡意源及反彈shell等多種異常網路行為,是攻擊偵察、遠端控制與橫向移動的典型跡象。 說明 暫不支援https加密流量檢測。 |
惡意指令碼 | 伺服器上發現惡意或可疑指令檔並檢測到相關代碼執行,表明攻擊者已入侵系統並正在執行惡意指令。 |
持久後門 | 檢測攻擊者為維持長期控制而設定的持久化機制,如建立自啟動項、記憶體駐留後門、隱藏進程及利用進階系統特性等。 |
敏感檔篡改 | 檢測到針對核心系統檔案及配置(如共用庫預先載入檔案)的篡改行為,攻擊者通過修改、替換或移動等方式,試圖實現持久化駐留或繞過安全檢測。 |
容器叢集異常 | 檢測到容器叢集存在多維度、多階段的攻擊行為,主要表現為利用服務賬戶(Service Account)進行許可權提升(如異常建立令牌、綁定高許可權角色)、橫向移動(如進入容器執行指令、訪問Kubelet)和資訊竊取(如枚舉Secrets)。 |
異常帳戶 | 檢測到系統中存在異常帳號。 |
網站後門查殺(本地查殺) | 基於檔案行為的威脅程度進行打分,識別具備危險功能和危險特徵的可疑檔案。 |
存在EXP | 檢測利用作業系統或應用程式已知漏洞,以實現遠程代碼執行、許可權提升或容器逃逸的攻擊行為。 |
異常網路流量 | 通過分析網路流量並關聯主機行為,識別出已發生的攻擊及持久性的惡意活動。 |
容器防逃逸 | 在容器主動防禦中建立容器防逃逸規則後,當容器內有進程嘗試執行與規則定義相抵觸的越權操作(如訪問宿主機敏感路徑、利用特權進行提權),該操作將被防禦模組攔截,並產生一條安全警示。 |
容器主動防禦 | 容器主動防禦提供兩項核心運行時安全能力,並對所有檢測到的風險行為產生安全警示: |
風險鏡像阻斷 | 在容器主動防禦中建立風險鏡像阻斷規則後,當叢集內使用鏡像建立資源(如 Pod)時,將觸發Security Center進行即時安全校正。對命中規則的風險鏡像,系統會自動執行警示、攔截或允許存取,並產生一條安全警示。 |
可信异常 | 檢測ECS可信執行個體的可信狀態、處理相關狀態異常等操作 |
其他 | Security Center用戶端異常離線、DDoS流量攻擊等。 |
警示檢測項
精確防禦
警示名稱 | 檢測說明 |
DDoS木馬 | 檢測模型發現您的伺服器上運行了DDoS木馬,DDoS木馬是用於從被攻陷主機上接受指令,對駭客指定目標發起DDoS攻擊的惡意程式。 |
勒索病毒 | 檢測模型發現您的伺服器上運行了勒索病毒,勒索病毒是一類惡性程式,會對主機上所有關鍵資料檔案進行加密鎖定以勒索贖金。 |
後門程式 | 檢測模型發現您的伺服器上運行了後門程式,後門程式是植入到系統中,用於給駭客對主機做持續入侵的持久化程式。 |
惡意程式 | 雲查殺掃描(惡意程式)。 |
感染型病毒 | 檢測模型發現您的伺服器上運行了感染型病毒,感染型病毒是一類進階惡意程式,由病毒本體將惡意代碼寫入正常程式檔案執行,因此往往有大量原本正常程式被感染後作為宿體被檢出。 |
挖礦程式 | 檢測模型發現您的伺服器上運行了挖礦程式,挖礦程式是一類侵佔主機計算資源,進行虛擬貨幣挖掘的程式,主機往往可見CPU佔用飆高,以及其它相關的惡意程式。 |
木馬程式 | 檢測模型發現您的伺服器上存在木馬程式,木馬程式是專門用於侵入使用者主機的程式,一般通過偽裝植入系統後會下載、釋放其他的惡意程式。 |
蠕蟲 | 檢測模型發現您的伺服器上運行了蠕蟲,蠕蟲是一類用於從已攻陷主機,向其它主機做攻擊橫向移動的程式,往往包括漏洞利用、密碼爆破等行為。 |
可疑程式 | 檢測模型發現您的伺服器上運行了可疑程式,可疑程式一般是具有一定惡意代碼特徵或高可疑度行為特徵的、暫未明確分類的程式,需要使用者結合資訊判斷。 |
自變異木馬 | 檢測模型發現您的伺服器上運行了自變異,自變異木馬是具備自變異功能的木馬程式,它會改變自身hash或者將自身大量複製到不同的路徑下,並後台運行起來,以躲避清理。 |
惡意IP攔截 | Security Center檢測到有攻擊者正在嘗試對伺服器發起攻擊,“精準防禦”成功攔截此次網路請求,防止該請求對伺服器造成損害,該警示並不意味著伺服器遭到了入侵,請放心。 |
惡意DNS請求攔截 | Apsara Stack Security檢測到您的ECS正在和惡意網域名稱通訊,可能是由於駭客入侵了您的伺服器。“精準防禦”成功攔截此次網路請求,防止該請求對伺服器造成損害。 |
進程行為攔截 | 該命令是一個高危的操作,可能是駭客入侵伺服器之後,進行的下一步惡意操作。Security Center精準防禦將本條命令攔截成功,防止該惡意命令執行對伺服器造成的損害。 |
惡意破壞用戶端進程 | 檢測到有可疑的進程變動行為破壞用戶端正常運行,為防止該行為破壞即時威脅檢測能力,已主動攔截該行為,通常駭客為了入侵主機,常常會破壞安全防護措施,請您重點關注該警示,同時請檢查伺服器當前是否存在其他安全警示、高危漏洞和弱口令風險,若該行為是您主動的操作行為,請忽略該警示。 |
惡意破壞用戶端檔案 | 檢測到有可疑的檔案變動行為破壞用戶端正常運行,為防止該行為破壞即時威脅檢測能力,該行為已被主動攔截,通常駭客為了入侵主機,常常會破壞安全防護措施,請您重點關注該警示,同時請檢查伺服器當前是否存在其他安全警示、高危漏洞和弱口令風險,若該行為是您主動的操作行為,請忽略該警示。 |
漏洞利用程式 | 檢測模型發現您的伺服器上運行了漏洞利用程式,漏洞利用程式用於攻擊或嘗試攻擊作業系統、應用程式的已知漏洞,用於實現提權、逃逸、任意代碼執行等目的。 |
誘餌捕獲勒索防護 | 利用預置的誘餌檔案,檢測/阻斷系統中可疑的勒索行為進程 |
WebShell惡意串連攔截 | WebShell惡意串連攔截。 |
駭客工具 | 檢測模型發現您的伺服器上存在駭客工具,駭客工具是攻擊者在入侵過程中用於許可權提升、竊取敏感性資料的工具,或用於卸載安全軟體的程式,或入侵後植入系統的後門程式。 |
Windows後門賬戶登入工作階段阻斷 | 檢測到攻擊者使用後門賬戶登入此機器,Security Center已將此次登入行為阻斷。 |
進程啟動攔截(自訂) | Security Center支援使用者添加進程檔案的MD5值,主動防禦基於MD5,在進程啟動時對其攔截。 |
中國蟻劍 WebShell通訊 | Security Center檢測到有攻擊者正在嘗試對伺服器發起攻擊,“精準防禦”成功攔截此次網路請求,防止該請求對伺服器造成損害,該警示並不意味著伺服器遭到了入侵,請放心。 |
中國菜刀 WebShell通訊 | Security Center檢測到有攻擊者正在嘗試對伺服器發起攻擊,“精準防禦”成功攔截此次網路請求,防止該請求對伺服器造成損害,該警示並不意味著伺服器遭到了入侵,請放心。 |
Rootkit | 檢測模型發現您的伺服器上存在Rootkit,Rootkit是一類植入到系統底層,用於隱藏自身或其它惡意程式痕迹的惡意模組。 |
XISE WebShell通訊 | Security Center檢測到有攻擊者正在嘗試對伺服器發起攻擊,“精準防禦”成功攔截此次網路請求,防止該請求對伺服器造成損害,該警示並不意味著伺服器遭到了入侵,請放心。 |
反彈shell | 駭客用於控制受害伺服器的一種手段。包括bash進程反彈shell,python、perl、lua、php、telnet進程等實現的反彈shell。 |
越權執行高危命令 | 駭客通過漏洞或配置錯誤,提升自己在受害伺服器上的許可權。如髒牛漏洞、sudo提權。 |
WebShell執行命令 | 駭客通過WebShell管理工具與受害伺服器上的WebShell進行通訊,執行任意命令,從而控制受害伺服器。包括菜刀、蟻劍、冰蠍、哥斯拉等駭客工具。 |
對抗安全軟體 | 駭客嘗試關閉安全軟體、刪除安全配置。包括停止Server Guard程式、關閉防火牆等。 |
植入可疑檔案 | 駭客利用漏洞或者弱口令登入寫入可疑檔案。包括wget、curl、tar、powershell等命令。 |
植入惡意檔案 | 駭客利用漏洞或者弱口令登入寫入惡意檔案。包括wget、curl、tar、powershell等命令。 |
可疑蠕蟲指令碼行為 | 駭客利用漏洞或者弱口令登入植入可疑的蠕蟲指令碼。包括bash、python、perl、powershell等指令碼。 |
命令列下載運行惡意檔案 | 駭客利用漏洞或者弱口令登入遠程執行命令,下載植入惡意檔案。包括wget、curl、python、powershell等下載命令。 |
Web服務執行高危操作 | 駭客通過利用Web漏洞來執行任意命令等。包括Confluence、Exiftool等漏洞。 |
資訊探測 | 服務程式執行主機命令,收集主機資訊,並判斷遠程命令執行是否成功。包括whoami、netstat、id等。 |
雲助手進階防護 | 雲助手令牌可能存在泄漏或者盜用的情況,禁止雲助手執行任意命令。 |
異常網路連接 | 駭客運行惡意程式或者使用系統程式串連網路,接收控制端指令,從而控制受害伺服器。包括DDoS、挖礦程式、反彈shell等。 |
混淆命令 | 駭客通過對主機命令進行加密、編碼等操作,進而嘗試繞過病毒防禦。包括base64/encode等。 |
Powershell執行高危命令 | 駭客利用系統PowerShell組件執行惡意命令,包括下載/執行Payload等惡意行為。 |
Powershell執行可疑命令 | 駭客利用系統PowerShell組件執行惡意命令,包括下載/執行Payload等惡意行為。 |
瀏覽器服務執行高危操作 | 駭客利用入口服務執行惡意操作,包括利用受信任系統組件遠程下載/執行Payload等惡意行為。 |
入口服務執行可疑操作 | 駭客利用入口服務執行惡意操作,包括利用受信任系統組件遠程下載/執行Payload等惡意行為。 |
系統進程執行高危操作 | 駭客利用入口服務執行惡意操作,包括利用受信任系統組件遠程下載/執行Payload等惡意行為。 |
Java服務執行高危操作 | 駭客利用入口服務執行惡意操作,包括利用受信任系統組件遠程下載/執行Payload等惡意行為。 |
Office組件執行高危操作 | 駭客利用入口服務執行惡意操作,包括利用受信任系統組件遠程下載/執行Payload等惡意行為。 |
載入高危驅動 | 病毒木馬/駭客工具通過載入驅動模組,進而繞過病毒防禦。 |
高危帳號操縱行為 | 駭客通過非法的賬戶操作,來實現持久化攻擊的目的。 |
惡意命令執行 | 駭客通過調用系統工具執行命令或指令碼來完成各類惡意行為。 |
可疑進程啟動 | 疑似病毒木馬啟動運行。 |
刪除系統備份行為 | 勒索病毒通過刪除系統備份,阻止資料恢複。 |
內網掃描 | 駭客通過掃描內網資產缺陷,或用同一密碼登入等方式,擴大入侵範圍。包括爆破破解,密碼噴洒、Web漏洞掃描等。 |
建立服務自啟動項 | 病毒通過註冊表、計劃任務、服務等方式建立持久化啟動項。 |
建立高危自啟動項 | 病毒通過註冊表、計劃任務、服務等方式建立持久化啟動項。 |
建立計劃任務自啟動項 | 病毒通過註冊表、計劃任務、服務等方式建立持久化啟動項。 |
建立註冊表自啟動項 | 病毒通過註冊表、計劃任務、服務等方式建立持久化啟動項。 |
建立WMI自啟動項 | 病毒通過註冊表、計劃任務、服務等方式建立持久化啟動項。 |
入侵痕迹清理 | 駭客通過刪除系統日誌、命令執行記錄等資料銷毀入侵痕迹。 |
高危憑據竊取行為 | 駭客通過Mimikatz等憑據竊取工具,嘗試竊取登入憑據。 |
HashDump攻擊 | 駭客通過Procdump等記憶體轉儲工具,嘗試訪問LSA進程擷取憑據資料。 |
劫持動態連結程式庫 | Security Center發現系統程式正在載入可疑的動態連結程式庫檔案,或植入惡意的動態連結程式庫檔案,懷疑是駭客通過劫持動態連結程式庫檔案,來實現劫持系統函數功能的目的。Security Center將這類行為攔截成功,如果您覺得這次攔截是非預期的,那您可以在主動防禦 - 惡意行為防禦頁面中,關閉“劫持動態連結程式庫”規則集或者將受影響機器從管理主機中剔除。 |
Cknife WebShell通訊 | Security Center檢測到有攻擊者正在嘗試對伺服器發起攻擊,“精準防禦”成功攔截此次網路請求,防止該請求對伺服器造成損害,該警示並不意味著伺服器遭到了入侵,請放心。 |
冰蠍 WebShell通訊 | 駭客通過WebShell管理工具與受害伺服器上的WebShell進行通訊,執行任意命令,從而控制受害伺服器。包括菜刀/蟻劍/冰蠍/哥斯拉等駭客工具 |
哥斯拉 WebShell通訊 | 駭客通過WebShell管理工具與受害伺服器上的WebShell進行通訊,執行任意命令,從而控制受害伺服器。包括菜刀/蟻劍/冰蠍/哥斯拉等駭客工具 |
敏感登錄機碼防護 | 敏感登錄機碼防護,包括持久化啟動項、組策略配置項、系統安全配置項、映像劫持項等防禦點。 |
進程注入防護 | 駭客通過將惡意代碼注入到正常的進程中,實現繞過檢測和防禦。如ptrace |
代理工具 | 檢測模型發現主機上存在代理工具,代理工具被攻擊者用於代理、隧道等操作,多用於進一步入侵伺服器的情境。 |
雲助手服務資訊探測 | 雲助手服務執行主機命令,收集主機資訊,並判斷遠程命令執行是否成功。包括whoami、netstat、id等。 |
LSA安全許可權服務防護 | LSASS是負責作業系統安全性原則的進程,攻擊者可以通過讀取/寫入LSASS進程記憶體來實現其惡意行為,此防護規則禁止任意進程以VM_READ/WRITE許可權開啟LSASS進程。註:該防護能力作為安全強化項,預設攔截且不會產生警示,如果您有讀取/寫入LSASS進程記憶體的情境可嘗試關閉此防護規則。 |
入口服務植入可疑指令碼/二進位檔案 | 資料庫/Web等服務植入可疑指令碼/二進位檔案。 |
入口服務執行可疑行為序列 | 駭客利用入口服務執行一連串的惡意操作,在同一個父進程下,執行下載命令、讀寫檔案、資訊探測等操作。 |
自適應WebShell通訊攔截 | 檢測模型發現您的伺服器存在惡意的WebShell通訊流量,攻擊者可以通過該方式進行伺服器的遠端控制,“精準防禦”成功攔截此次網路請求,防止該請求對伺服器造成損害。 |
WebShell上傳 | Security Center檢測到有攻擊者正在嘗試對伺服器發起攻擊,“精準防禦”成功攔截此次網路請求,防止該請求對伺服器造成損害,該警示並不意味著伺服器遭到了入侵,請放心。 |
掃描器 | 檢測模型發現主機上存在掃描器, 掃描器多被攻擊者用於發現存活主機、開放連接埠、存在漏洞、弱口令等安全風險的主機,多用於進一步入侵情境 |
Java通用RCE漏洞攔截 | Security Center檢測到有攻擊者正在嘗試對伺服器發起攻擊,“精準防禦”成功攔截此次網路請求,防止該請求對伺服器造成損害,該警示並不意味著伺服器遭到了入侵,請放心。 |
自適應Web攻擊防禦 | Security Center利用雲端智能分析引擎,可以自動識別並攔截各種Web RCE攻擊流量,防止惡意請求對您的伺服器造成損害。如果您覺得這次攔截是非預期的,那您可以在主動防禦 - 惡意行為防禦頁面中,關閉對應規則或者將受影響機器從管理主機中剔除。 |
下載器木馬 | 檢測模型發現您的伺服器上存在下載器木馬,下載器木馬一般會下載並釋放惡意木馬、廣告騷擾等第三方程式。 |
主機防禦鏈路測試 | 用於測試主機防禦鏈路是否生效。 |
資料庫服務資訊探測 | 資料庫服務程式執行主機命令,收集主機資訊,並判斷遠程命令執行是否成功。包括whoami、netstat、id等。 |
Apsara Stack Security進程防護 | Apsara Stack Security進程異常訪問防護。 |
WebShell檔案防禦 | Security Center發現您的伺服器存在網站後門(WebShell),並且攻擊者正在嘗試利用該後門檔案,攔截模組識別到此次行為,並精準防禦此次行為。需要注意的是,雖然防禦模組成功攔截此次行為,如果您確定此檔案是後門,需儘快手工隔離/刪除此檔案。 如果您想加白此檔案,請通過: 防護配置->主機防護->主機規則管理->自訂防禦規則 建立一條針對此檔案路徑的加白規則。 如果您想單獨關閉WebShell檔案防禦功能,請通過: 防護配置->主機防護->主機規則管理->系統防禦規則->WebShell檔案防禦,點擊關閉開關。 |
SQL Server暴力破解 | Security Center檢測到有攻擊者正在嘗試對伺服器發起攻擊,“精準防禦”成功攔截此次網路請求,防止該請求對伺服器造成損害,該警示並不意味著伺服器遭到了入侵,請放心。 |
PHP WebShell上傳 | 駭客利用檔案上傳功能上傳PHP WebShell,Security Center將阻止以.php、.phtml為尾碼的檔案上傳。 |
JSP WebShell上傳 | 駭客利用檔案上傳功能上傳JSP WebShell,Security Center將阻止以.jsp為尾碼的檔案上傳。 |
ASP WebShell上傳 | 駭客利用檔案上傳功能上傳ASP WebShell,Security Center將阻止以.asp、.ashx、.asa、.asmx、.cshtml為尾碼的檔案上傳。 |
特殊尾碼 WebShell上傳 | 駭客利用檔案上傳功能上傳特殊尾碼的WebShell,Security Center將阻止以.cer、.ascx為尾碼的檔案上傳。 |
作業系統帳號行為 | 在系統底層攔截作業系統帳號行為。此規則集預設關閉,請自行評估 按需開啟。 |
WebShell上傳智能防禦 | Security Center檢測到有攻擊者正在嘗試對伺服器發起攻擊,“精準防禦”成功攔截此次網路請求,防止該請求對伺服器造成損害,該警示並不意味著伺服器遭到了入侵,請放心。 |
介面可疑檔案上傳 | 駭客利用部分介面上傳可疑的WebShell,Security Center將阻止這部分介面的上傳功能。 |
竊密工具 | 檢測模型發現主機上存在竊密工具, 竊密工具多用於竊取主機上的各種敏感檔案、資訊 |
系統常駐進程訪問防護 | 系統常駐進程和服務承載了系統的核心功能,駭客常會以高危許可權訪問系統進程來實現其惡意行為,此防護規則禁止任意進程以高風險許可權訪問系統常駐進程,包括線程建立、控制代碼拷貝、記憶體操作等許可權。註:該防護能力作為安全強化項,預設攔截且不會產生警示,如果您的業務有需要訪問系統常駐進程的情境可嘗試關閉此防護規則。 |
RDP暴力破解 | Security Center檢測到有攻擊者正在嘗試對伺服器發起攻擊,“精準防禦”成功攔截此次網路請求,防止該請求對伺服器造成損害,該警示並不意味著伺服器遭到了入侵,請放心。 |
SSH暴力破解 | Security Center檢測到有攻擊者正在嘗試對伺服器發起攻擊,“精準防禦”成功攔截此次網路請求,防止該請求對伺服器造成損害,該警示並不意味著伺服器遭到了入侵,請放心。 |
惡意驅動 | 駭客通過安裝、編譯惡意的代碼、載入ko/sys等驅動檔案等手段,安裝rootkit。 |
勒索軟體 | 在您的系統磁碟上發現了可疑檔案,建議您先確認檔案合法性並進行處理。 |
非可信進程啟動 | 攔截非白名單進程的啟動行為。 |
非可信進程鏈異常啟動 | 攔截非可信進程鏈的異常進程啟動行為。 |
非可信進程高危網路操作 | 攔截非白名單列表中的進程異常訪問公網/內網IP。 |
非可信進程高危檔案操作 | 攔截非白名單列表中的進程異常修改辦公文檔、系統關鍵設定檔等高風險操作。 |
網路請求攔截 | 後台檢測到異常網路請求,“精準防禦”已成功攔截,防止該請求對主機造成損害。該警示並不意味著主機遭到了入侵。 |
異常過程行為
警示名稱 | 檢測說明 |
反彈 Shell | Security Center檢測到您的伺服器被執行了反彈Shell命令,攻擊者通過該方式與自己的伺服器建立了反向網路連接,通過該串連可以執行任意命令。 |
Java 應用執行異常指令 | 檢測模型發現您的伺服器上的Java進程啟動了下載惡意程式、添加後門等高危行為,很可能是因為您使用了存在漏洞的Web架構或者中介軟體導致。 |
Mysql 執行異常指令 | 檢測模型發現您的MySQL服務執行了可疑的命令,可能是由於MySQL服務存在弱口令、或Web服務被SQL注入導致。 |
Postgresql 應用執行異常指令 | 檢測模型發現到您的 Postgre 服務執行了可疑的命令,可能是由於 Postgre 服務存在弱口令、或 Web 服務被 SQL 注入導致。 |
Redis 配置不當導致被利用 | 檢測模型發現您伺服器上的 Redis 應用向磁碟寫入了可疑檔案,可能是攻擊者通過 Redis 空口令或弱口令,執行了惡意 SQL,該行為可使攻擊者直接擷取伺服器許可權。 |
免密登入認證可疑寫入行為 | Apsara Stack Security檢測到伺服器的 Root 認證目錄存在異常檔案變動行為,可能是駭客在嘗試向伺服器中注入免密認證用於後續登入攻擊。 |
可疑 HTTP 隧道資訊洩漏 | 檢測模型發現您伺服器上出現利用 HTTP 通道將命令執行結果發送到外部伺服器的行為,可能是攻擊者將利用 RCE 漏洞執行命令的結果返回給自己的伺服器。 |
Postgres 匯出功能被誤用寫入可疑 UDF 庫檔案 | 檢測模型發現您伺服器上的Postgres應用正在嘗試向磁碟上寫入可疑so檔案,可能由於Postgres存在弱口令被攻擊者登入後並執行了惡意SQL,該檔案可能導致您的伺服器被攻擊者控制。 |
Mysql 匯出功能誤用寫入可疑檔案 | 檢測模型發現您伺服器上的MySQL應用正嘗試向敏感目錄寫入檔案,可能是攻擊者通過弱口令或Web應用執行了惡意的SQL。 |
可疑 CMD 命令序列 | 檢測模型在您的系統上發現某進程執行了一系列可疑的命令,這些命令與攻擊者入侵後通常會執行的命令序列非常相似,建議排查這些命令的父進程,可能為遠控木馬、存在漏洞的 Web 服務,或者是合法進程被注入了惡意代碼。 |
Windows 賬戶異常操作 | 檢測模型發現該命令在作業系統賬戶時的上下文可疑,可能是惡意軟體或者攻擊者在進行使用者賬戶的操作。 |
可疑的指令碼操作 | 檢測模型在您的機器上發現該命令與指令碼相關且高度可疑,很有可能與惡意軟體、駭客入侵有關。 |
異常的註冊表操作 | 檢測模型在您的機器上發現該命令操作註冊表的方式高度可疑,可能是惡意軟體或攻擊者入侵後的配置修改行為。 |
可疑命令執行 | 檢測模型發現您的伺服器上執行的進程命令列高度可疑,很有可能與木馬、病毒、駭客行為有關。 |
Windows 可疑混淆命令 | 檢測到主機執行的命令列疑似經過混淆處理,惡意軟體執行或駭客入侵過程中常常會利用大小寫字母或特殊字元對命令列進行混淆,以此繞過安全檢測。 |
可疑的進程路徑 | 檢測模型發現您伺服器上某個進程從一個不尋常的路徑啟動,常規軟體通常不會在這種目錄中,該進程有可能是病毒、木馬、駭客入侵過程中放置的工具。 |
可疑編碼命令 | 檢測模型發現您的伺服器上執行的進程命令列高度可疑,很有可能與木馬、病毒、駭客行為有關。 |
Linux 可疑命令序列 | 檢測模型在您系統上發現某進程執行了一系列可疑的命令,這些命令與攻擊者入侵後通常會執行的命令序列非常相似,建議排查這些命令的父進程,可能為反彈 shell、遠控木馬、存在漏洞的 Web 服務,或者是合法進程被注入了惡意代碼。 |
系統日誌異常刪除 | 檢測模型在您的系統上發現有進程嘗試刪除系統日誌,惡意軟體或攻擊者通常會通過清除系統日誌來達到躲避檢測的目的。 |
系統備份異常刪除 | 檢測模型在您的系統上發現有進程嘗試刪除系統備份檔案,可能為勒索病毒為達到勒索的目的,通過刪除系統的備份來阻止恢複檔案。 |
異常修改系統安全配置 | 檢測模型在您的機器上發現有進程修改了系統安全配置,這可能是惡意軟體或攻擊者通過修改防火牆、殺毒軟體配置來躲避檢測。 |
異常調用系統工具 | 檢測模型在您的系統上發現有進程正以一種可疑的方式調用系統工具,木馬病毒或駭客常常會通過這種方式繞過常規的安全軟體,進而實現下載惡意檔案、加解密、載入惡意代碼等惡意操作。 |
啟動項異常修改 | 檢測模型在您的機器上發現有進程嘗試修改系統的自啟動項,這可能是木馬病毒或攻擊者通過啟動項來維持許可權的行為。 |
可疑的探測命令 | 可疑的探測命令。 |
容器內部可疑命令執行 | 檢測模型發現您的容器內部存在異常命令執行,存在入侵風險。 |
運行惡意容器鏡像 | 檢測模型發現您的伺服器正在運行惡意的容器鏡像,該鏡像極有可能包含後門、挖礦程式、病毒或已知的嚴重漏洞,請及時排查並使用可信的鏡像資源。 |
容器內部提權或逃逸 | Security Center檢測到疑似在容器內部嘗試提權或逃逸等異常行為,常見於異常訪問 docker.sock、使用逃逸工具、建立 cgroup 等。同時有一定機率為正常業務產生的操作,如果是營運操作或正常業務功能,請忽略警示或者標記本次誤判。 |
特權容器啟動 | 檢測模型發現您的伺服器中有可疑的特權容器啟動,特權容器會降低容器運行時的安全性,一旦被入侵者攻破將危害到宿主伺服器上的其他容器和資產,請確保您的特權容器採用了可信的鏡像源,並確保其啟動並執行服務難以被入侵。 |
存在風險的 Docker 遠端偵錯介面 | 檢測模型發現您的 Docker 遠端偵錯介面對 0.0.0.0 開放,暴露在公網的 Docker 遠端偵錯介面會迅速被蠕蟲入侵。僅暴露在內網也具有一定風險,常見於攻擊者突破進入內網後橫向移動,利用該危險配置控制更多容器資源。 |
疑似許可權提升 | 檢測模型發現您的伺服器上有進程疑似利用系統、應用漏洞來擷取更高的許可權,可能是攻擊者在入侵過程中進行的提權行為。 |
容器異常行為 | Security Center檢測到您的容器內部存在安裝軟體、執行指令碼、探測容器環境等手工操作,常見於攻擊者入侵容器後的橫向滲透和許可權提升,同時也有一定機率為正常業務或營運需求。如發現此警示為誤判,可在警示處理頁面選擇處理方式 “加白名單” 或者 “忽略”。 |
容器發起網路掃描行為 | 檢測模型發現您的容器內部正在主動發起可疑的網路掃描行為,可能是攻擊者通過此種方法進行深入滲透和橫向移動。 |
容器內部憑證資訊搜集 | 檢測模型發現您的容器內部存在訪問敏感檔案行為,如:Docker/Swarm/K8s 設定檔、資料庫連接配置、登入憑證、API Access Key、認證及私密金鑰檔案等。請及時確認是否存在入侵事件和資料泄露風險。 |
容器高風險操作 | 檢測模型發現您的伺服器正在執行高風險的容器操作,具體原因見警示詳情,請排查該行為,如果是營運操作或正常業務功能,請忽略警示或者標記本次誤判。 |
篡改檔案時間 | 檢測模型發現您的伺服器上有進程嘗試篡改檔案時間,可能是攻擊者在入侵過程中通過模仿系統正常檔案時間來偽造異常檔案真實的建立、訪問、修改時間,以達到逃避檢測的目的。 |
網路代理程式轉寄行為 | 檢測模型發現您的伺服器異常調用了風險工具,風險工具被攻擊者用於代理、隧道、掃描工具等進一步入侵伺服器的情境。 |
偽裝 K8s 系統容器 | Security Center檢測到您的伺服器中執行了 docker 命令以啟動一個偽裝成 K8s 內部服務的容器,這常見於駭客部署後門容器時將其命名為 K8s 內部容器,從而躲避檢測。 |
容器內部敏感手工操作 | Security Center監控到您的容器內部存在安裝軟體、執行指令碼、探測容器環境等手工操作,常見於駭客攻入容器後需要豐富容器內部環境進行橫向滲透,也見於營運人員測試過程,請確定該警示所涉及行為是否為授權操作,如果是營運操作請通過白名單規則濾除該警示。 |
容器環境可疑探測命令序列 | Security Center檢測到一組在容器環境執行的可疑命令,常見於攻擊者擷取到容器內許可權之後,探測容器宿主機環境、叢集資訊、容器逃逸條件等,以實現許可權提升和橫向移動的目的。因這些動作較為輕微,同時也有一定機率為正常業務或營運需求。請及時排查來源 IP 訪問和操作該資源是否屬於正常業務或營運需求。 |
蠕蟲命令 | 蠕蟲命令。 |
滲透工具利用行為 | 滲透工具利用行為。 |
調用掃描工具 | 調用掃描工具。 |
啟動可疑鏡像 | Security Center發現您的伺服器使用可疑鏡像啟動容器,常見於攻擊者利用服務漏洞控制容器調度,植入挖礦、後門等惡意鏡像情境,請及時排查;如果是業務正常需求請忽略或標記誤判。Security Center通過即時感知雲上惡意鏡像傳播態勢、分析互連網公開鏡像倉庫建立惡意鏡像情報庫,您可以使用安全預防 - 鏡像安全掃描功能檢測鏡像是否存在漏洞、惡意檔案等。 |
可疑Powershell 指令 | 駭客常常利用 Powershell 進行惡意檔案下載、惡意檔案不落盤持久化運行、反彈 shell 等惡意行為。 |
可疑的檔案植入行為 | 可疑的檔案植入行為。 |
LSASS 記憶體轉儲 | 檢測模型發現您的伺服器上有 we、minikazi 等惡意軟體運行,該工具可提取帳號系統帳號 HASH,導致您的帳號密碼泄露。 |
提取作業系統身份憑證 | (暫無具體檢測說明) |
可疑的進程行為序列 | 檢測到一個進程啟動了多個可疑的子進程。該進程有可能是存在弱點的應用服務被駭客攻擊,或者該進程是惡意程式。 |
從記憶體中動態負載檔案執行 | 從記憶體中動態負載檔案執行。 |
疑似進程注入 | 該進程將代碼注入了其他進程,可能嘗試將代碼運行在其他進程的上下文中以實現檢測繞過、許可權提升、訪問記憶體中的敏感資訊等操作。 建議您採取如下措施: 1. 檢查該進程與目標進程檔案,如果不是合法檔案則殺死該進程並隔離該檔案,如果是合法進程,請在不影響正常業務的情況下重啟或殺死該進程。 2. 結合該機器上的其他警示資訊,綜合判斷此次入侵事件對業務造成的潛在影響,進行其他的響應處置。 3. 嘗試分析本次入侵事件的入侵原因,修複安全性漏洞。 |
Web 應用程式建立異常子進程 | (暫無具體檢測說明)。 |
疑似內網橫向攻擊 | 疑似內網橫向攻擊。 |
持久化後門建立行為 | 持久化後門建立行為。 |
持久化後門啟動行為 | 持久化後門啟動行為。 |
進程命令列混淆 | 檢測到主機中進程的命令列包含混淆編碼,很有可能是惡意程式或駭客嘗試繞過安全檢測。 |
雲環境資訊收集 | 雲環境資訊收集。 |
執行異常計劃任務 | 檢測到系統計劃工作群組件建立了可疑的進程,有可能是惡意程式或駭客在擷取主機許可權後為了維持許可權,將惡意代碼添加到計劃任務中所導致的。 |
SSH 後門 | 檢測到與 SSH(Secure Shell)相關的後門進程。惡意程式或駭客在擷取 Linux 主機許可權後,有可能會修改相關檔案或配置,從而通過 SSH 程式留下登入後門。 |
編輯器擴充後門 | 發現疑似與編輯器向外延展群組件相關後門程式。惡意程式或駭客有可能會利用正常編輯器的擴充外掛程式功能來隱藏後門程式。 |
疑似篡改檔案逃逸 | Security Center檢測到以 "寫入模式" 開啟重要檔案的行為,常見於通過篡改該檔案達到從容器逃逸到宿主機的情境,可重點排查進程,操作的檔案,檔案開啟的屬性是否來源於正常業務產生的操作,如果是營運操作或正常業務功能,請忽略警示或者標記本次誤判。 |
請求帶外攻擊 (OOB) 網域名稱 | 檢測到主機上進程請求的網域名稱經常被用於帶外攻擊外傳資料。攻擊者常常會使用在 payload 中指定漏洞利用成功後請求目標網域名稱,然後通過觀察特定的網域名稱是否被請求來判斷攻擊是否成功。 |
異常的偽終端 Shell 建立行為 | (暫無具體檢測說明) |
訪問可疑礦池網域名稱 | 檢測到主機上的進程請求了可疑的礦池網域名稱,這意味著機器可能正在與礦池通訊,請結合警示和處置建議進一步排查是否存在挖礦行為。 |
容器逃逸程式啟動 | Usermode Helper API 是一種 Linux 核心調用使用者指定的使用者空間程式的機制(如通過 /proc/sys/kernel/core_pattern 等檔案指定),該程式被執行時擁有宿主機 root 特權,容器中一般不應該使用該核心機制。因此,當容器內程式被宿主機核心調用時,通常代表逃逸行為發生。 |
Windows 令牌篡改提升許可權 | Windows 令牌篡改提升許可權 |
訪問可疑隧道網域名稱 | 檢測到主機上的進程請求了可疑的隧道網域名稱,這意味著機器可能進行中隧道代理通訊,請結合警示和處置建議進一步排查。 |
異常修改系統檔案 | 異常修改系統檔案。 |
修改註冊表自啟動項 | 修改註冊表自啟動項。 |
計劃任務修改行為 | 計劃任務修改行為。 |
可疑的系統策略修改行為 | 可疑的系統策略修改行為。 |
Web 應用程式修改異常檔案 | Web 應用程式修改異常檔案。 |
父進程偽造 | 父進程偽造。 |
容器掛載高危宿主路徑 | 容器掛載高危宿主路徑。 |
利用環境變數劫持控制流程 | 利用環境變數劫持控制流程。 |
網路外殼
警示名稱 | 檢測說明 |
發現後門(Webshell)檔案 | 檢測模型在您的伺服器上發現了一個可疑的Webshell檔案,可能是攻擊者成功入侵網站後為維持許可權植入的後門檔案。 |
包含WEBSHELL代碼的日誌/圖片檔案 | 檢測模型在您的伺服器上發現了一個插入WebShell代碼的檔案,可能是攻擊者在嘗試組合利用檔案包含漏洞。 |
發現任意檔案寫入後門 | Security Center在您的系統磁碟上發現了一個可導致任意檔案寫入的檔案。這有可能是駭客成功入侵網路後植入的,也有可能是管理員自身的營運檔案,建議您先確認檔案合法性並處理。 |
發現資訊竊取後門 | Security Center在您的系統磁碟上發現了一個可導致資訊竊取的檔案,比如資料庫動作記錄。這有可能是駭客成功入侵網路後植入的,也有可能是管理員自身的營運檔案,建議您先確認檔案合法性並處理。 |
發現掛馬盜鏈後門檔案 | 檢測模型在您的系統磁碟上發現了一個可疑掛馬檔案,它可能代表駭客成功入侵網站後植入的,該檔案存在惡意跳轉引流等危險行為,建議您先確認檔案合法性並處理。如果管理員自己部署放置的,可以在前台選擇忽略或者標記為誤判按鈕。 |
發現DLL類型Web後門 | 檢測模型在您的伺服器上發現了一個可疑的Webshell檔案,可能是攻擊者成功入侵網站後為維持許可權植入的後門檔案。 |
異常登錄
警示名稱 | 檢測說明 |
ECS在非常用地登入 | 本次登入的登入地非您定義的合法登入地範疇,請您確認登入的合法性。 |
ECS非常用IP登入 | 本次登入的IP非您定義的合法IP範疇,請您確認登入行為合法性。 |
ECS非常用帳號登入 | 本次登入的帳號非您定義的合法帳號範疇,請您確認登入行為合法性。 |
ECS非常用時間登入 | 本次登入的時間不在您定義的合法登入時間範圍內,請您確認登入行為合法性。 |
ECS暴力破解成功 | 您的ECS被多次嘗試用錯誤密碼登入後登入成功,系統初步判斷是駭客猜解中了密碼。 |
ECS被暴力破解成功(SSH) | 檢測模型發現您的伺服器正在被SSH暴力破解攻擊,且攻擊者在進行了一定次數的嘗試後,試出了您的SSH服務密碼,成功登入了系統。 |
ECS被暴力破解成功(RDP) | 檢測模型發現您的伺服器正在被RDP暴力破解攻擊,且攻擊者在進行了一定次數的嘗試後,試出了您的RDP服務密碼,成功登入了系統。 |
ECS登入後執行異常指令序列(SSH) | 檢測模型發現您的伺服器在被一IP登入後,執行了一系列惡意指令,很有可能是由於您伺服器的密碼較弱或密碼泄露被攻擊者登入執行。 |
異常賬戶登入 | 模型發現您將異常賬戶添加進管理使用者組,並檢測到此賬戶有登入行為,如果不是您的操作行為,請儘快刪除此帳號。 |
惡意IP登入 | 檢測模型發現您的伺服器被惡意IP登入成功,該IP在歷史上曾被發現存在惡意攻擊行為。如果不是您的登入行為,請儘快修改ECS的密碼。 |
後門賬戶登入 | 檢測模型發現您的伺服器之前被攻擊者植入了後門賬戶,且該後門賬戶剛剛被成功登入,如果不是您的操作行為,請儘快刪除此帳號。 |
疑似對外發起登入掃描活動 | 檢測模型發現您的伺服器頻繁對外發起爆破掃描SSH、RDP、SMB等協議的行為,可能是您的伺服器已被攻擊者入侵併被用於跳板來攻擊其他機器。 |
ECS被暴力破解成功(多個無效使用者) | 檢測模型發現您的伺服器被一個IP使用多個無效的使用者名稱嘗試登入, 並最後登入成功,如果不是您的登入行為,請儘快修改ECS的密碼。 |
惡意IP登入(MYSQL) | 檢測模型發現您伺服器上的MySQL應用被惡意IP登入成功,此IP在歷史上曾被發現過存在惡意攻擊行為。如果不是您的登入行為,請儘快修改MySQL的密碼。 |
惡意IP登入(FTP) | 檢測模型發現您伺服器上的FTP應用被惡意IP登入成功,此IP在歷史上曾被發現過存在惡意攻擊行為。如果不是您的登入行為,請儘快修改FTP的密碼。 |
惡意IP登入(SQLSERVER) | 檢測模型發現您伺服器上的SQL Server應用被惡意IP登入成功,此IP在歷史上曾被發現過存在惡意攻擊行為。如果不是您的登入行為,請儘快修改SQL Server的密碼。 |
惡意軟體
警示名稱 | 檢測說明 |
木馬程式 | 檢測模型發現您的伺服器上存在木馬程式,木馬程式是專門用於侵入使用者主機的程式,一般通過偽裝植入系統後會下載、釋放其他的惡意程式。 |
可疑中控木馬通訊 | 惡意中控木馬程式。 |
DDoS 木馬 | 檢測模型發現您的伺服器上運行了 DDoS 木馬,DDoS 木馬是用於從被攻陷主機上接受指令,對駭客指定目標發起 DDoS 攻擊的惡意程式。 |
勒索病毒 | 檢測模型發現您的伺服器上運行了勒索病毒,勒索病毒是一類惡性程式,會對主機上所有關鍵資料檔案進行加密鎖定以勒索贖金。 |
後門程式 | 檢測模型發現您的伺服器上運行了後門程式,後門程式是植入到系統中,用於給駭客對主機做持續入侵的持久化程式。 |
感染型病毒 | 檢測模型發現您的伺服器上運行了感染型病毒,感染型病毒是一類進階惡意程式,由病毒本體將惡意代碼寫入正常程式檔案執行,因此往往有大量原本正常程式被感染後作為宿體被檢出。 |
蠕蟲 | 檢測模型發現您的伺服器上運行了蠕蟲,蠕蟲是一類用於從已攻陷主機,向其它主機做攻擊橫向移動的程式,往往包括漏洞利用、密碼爆破等行為。 |
惡意程式 | 檢測模型發現您的伺服器上運行了惡意程式,惡意程式一般是具備多種惡意行為特徵的程式,或者具備騷擾、破壞行為的第三方程式。 |
挖礦程式 | 檢測模型發現您的伺服器上運行了挖礦程式,挖礦程式是一類侵佔主機計算資源,進行虛擬貨幣挖掘的程式,主機往往可見 CPU 佔用飆高,以及其它相關的惡意程式。 |
可疑程式 | 檢測模型發現您的伺服器上運行了可疑程式,可疑程式一般是具有一定惡意代碼特徵或高可疑度行為特徵的、暫未明確分類的程式,需要使用者結合資訊判斷。 |
高危程式 | 雲查殺掃描(高危程式)。 |
自變異木馬 | 檢測模型發現您的伺服器上運行了自變異,自變異木馬是具備自變異功能的木馬程式,它會改變自身hash或者將自身大量複製到不同的路徑下,並後台運行起來,以躲避清理。 |
被汙染的基礎軟體 | 檢測模型發現您的伺服器上存在被汙染的基礎軟體,被汙染的基礎軟體是一類特殊的惡意程式,一般是被植入了惡意代碼的正常系統程式,雖然具備原始基礎軟體的功能但具有隱藏的惡意行為。 |
漏洞利用程式 | 檢測模型發現您的伺服器上運行了漏洞利用程式,漏洞利用程式用於攻擊或嘗試攻擊作業系統、應用程式的已知漏洞,用於實現提權、逃逸、任意代碼執行等目的。 |
駭客工具 | 檢測模型發現您的伺服器上存在駭客工具,駭客工具是攻擊者在入侵過程中用於許可權提升、竊取敏感性資料的工具,或用於卸載安全軟體的程式,或入侵後植入系統的後門程式。 |
Rootkit | 檢測模型發現您的伺服器上存在 Rootkit,Rootkit 是一類植入到系統底層,用於隱藏自身或其它惡意程式痕迹的惡意模組。 |
Rootkit 核心模組 | 檢測模型發現您的伺服器上存在 Rootkit,Rootkit 是一類植入到系統底層,用於隱藏自身或其它惡意程式痕迹的惡意模組。 |
高可疑程式 | 檢測模型發現您的伺服器上運行了可疑程式,可疑程式一般是具有一定惡意代碼特徵或高可疑度行為特徵的、暫未明確分類的程式,需要使用者結合資訊判斷。 |
風險軟體 | 檢測模型發現您的雲主機上存在風險軟體。風險軟體不一定是真正的惡意程式,可能只是普通的軟體工具。但它具有一些可能會給主機帶來威脅的功能。如果被別有用心的人在網路攻擊活動中使用,就有可能帶來危害。常見的風險軟體有進程管理工具、系統服務管理工具和遠端管理工具等,具體情況需要使用者結合資訊判斷。 |
下載器木馬 | 檢測模型發現您的伺服器上存在下載器木馬,下載器木馬一般會下載並釋放惡意木馬、廣告騷擾等第三方程式。 |
代理工具 | 檢測模型發現主機上存在代理工具代理工具被攻擊者用於代理、隧道,多用於進一步入侵伺服器的情境。 |
引擎測試程式 | 檢測模型發現主機上存在引擎測試程式,該程式多用於檢測病毒檢測引擎是否工作正常。 |
竊密工具 | 檢測模型發現主機上存在竊密工具,竊密工具多用於竊取主機上的各種敏感檔案、資訊。 |
掃描器 | 檢測模型發現主機上存在掃描器,掃描器多被攻擊者用於發現存活主機、開放連接埠、存在漏洞、弱口令等安全風險的主機,多用於進一步入侵情境。 |
勒索軟體 | 在您的系統磁碟上發現了可疑檔案,建議您先確認檔案合法性並進行處理。 |
廣告軟體 | 檢測模型發現您的伺服器上存在廣告軟體。廣告軟體一般會植入到正常軟體中,騷擾正常的伺服器使用,並佔用額外的資源。 |
混淆程式 | 檢測模型發現您的伺服器上存在混淆程式,通常進階惡意軟體為了躲避檢測會將自身進行混淆。 |
破解程式 | 檢測模型發現您的伺服器上存在破解程式,此類破解程式來源不明,可能會有潛在的安全風險。 |
私服工具 | 檢測模型發現您的伺服器上存在私服工具,私服工具一般用於遊戲 / 外掛情境,可能攜帶有惡意代碼。 |
反彈 shell 後門 | 雲查殺掃描(反彈 shell 後門)。 |
惡意文檔 | 檢測模型識別到惡意文檔檔案惡意文檔被攻擊者用於釣魚攻擊,誘導使用者點擊執行惡意載荷,擷取控制許可權 |
雲產品威脅檢測
警示名稱 | 檢測說明 |
Ram子帳號異地登入 | 發生該警示意味著您名下的RAM子帳號出現了異地登入行為,當您更換了登入地時會出現此類警示,若登入請求不是您正常業務需要,說明駭客可能已經獲得了該子帳號的帳號密碼。 |
惡意IP使用AccessKey | 系統檢測到存在惡意IP正在調用您的AccessKey, 如果確認該進行不是您自己的操作, 請儘快禁用且替換AccessKey. |
OSS可疑訪問行為 | 出現該警示意味著使用者使用OSS工具對您的Bucket進行了異常訪問,這通常可能是因為調用IP發生了變化或者API調用失敗,請確認請求源IP和相關工具的操作行為是否屬於正常的業務需要,否則說明駭客可能已經能夠控制您的OSS Bucket。 |
雲助手異常命令 | 檢測模型發現您的雲賬戶通過雲助手OpenAPI在您的伺服器上調用了命令,且命令的內容較為惡意,很有可能是駭客已經擷取了您的AccessKey進行惡意操作。 |
AccessKey異常調用 | 系統檢測到您的AccessKey存在異常調用行為 |
ECS執行個體角色憑證被外部調用 | 模型檢測到您授予ECS執行個體的角色STS臨時憑證在被外部IP調用訪問,這可能意味著相關的ECS已經被攻擊,攻擊者竊取了這個ECS執行個體關聯的角色STS臨時憑證,並在外部調用。阿里雲不推薦在請求STS臨時憑證之外的主機上使用該憑證。關於ECS執行個體角色資訊,請參考執行個體RAM角色。 |
雲助手註冊劫持 | 系統檢測到您的ECS執行個體正在被其他阿里雲賬戶安裝雲助手從而實現遠程命令控制,請儘快確認是否為相關營運人員的操作,並排查該伺服器是否存在其他異常情況。 |
駭客工具利用AK | 檢測到您的AK正在被駭客工具進行利用,請儘快確認是否是正常的使用者行為 |
ECS角色憑證被其他阿里雲賬戶調用 | 模型檢測到您授予ECS執行個體的角色STS臨時憑證在被外部IP調用訪問,這可能意味著相關的ECS執行個體已經被攻擊,攻擊者竊取了這個ECS執行個體關聯的角色STS臨時憑證,並在外部調用。阿里雲不推薦您在請求STS臨時憑證之外的主機上使用該憑證。關於ECS執行個體角色資訊,請參考執行個體RAM角色。 |
ECS角色憑證異常調用敏感API | 模型檢測到您的ECS執行個體角色進行了敏感的API操作,請您儘快確認調用者所屬IP的身份,核實該活動是否屬於正常的業務行為。如果IP屬於自身資產下的ECS,也需要排查是否存在失陷的風險。通常在入侵活動中,駭客可能會通過入侵伺服器或網站竊取到ECS執行個體的角色憑證,並藉助該身份進行這類敏感的API調用從而實現進一步的攻擊。 |
可疑身份調用敏感API | 模型檢測到您的帳號進行了較為敏感的API操作,且調用IP不屬於常用的地理位置,需要您核實調用者的身份以及相關操作是否合理,避免AK存在泄露的風險。 |
異常的ECS資源遍曆行為 | 檢測到您正在遍曆各個地區下的資源執行個體,且調用IP不屬於常用的地理位置,需要您核實調用者的身份以及相關操作是否合理,避免AK存在泄露的風險。 |
異常的RDS資源遍曆行為 | 模型檢測到您正在遍曆各個地區下的資源執行個體,且調用IP不屬於常用的地理位置,需要您核實調用者的身份以及相關操作是否合理,避免AK存在泄露的風險。 |
異常的OSS存取權限遍曆行為 | 模型檢測到您正在遍曆OSS多個儲存空間(Bucket)的存取權限(ACL),且調用IP不屬於常用的地理位置,需要您核實調用者的身份以及相關操作是否合理,避免AK存在泄露的風險。 |
異常的建立高許可權子賬戶行為 | 該帳號建立了admin許可權的RAM子賬戶並啟用了Web控制台登入,通常駭客會採用這種手段植入後門以便進行後續的入侵操作,請迅速排查該子帳號的建立是否屬於相關人員的合法操作。 |
異常的多子帳號許可權遍曆行為 | 模型檢測到您正在遍曆多個子帳號的權限原則,且調用IP不屬於常用的地理位置,需要您核實調用者的身份以及相關操作是否合理,避免AK存在泄露的風險。 |
異常的單子帳號許可權遍曆行為 | 模型檢測到您正在遍曆子帳號及其所屬使用者組的權限原則,且調用IP不屬於常用的地理位置,需要您核實調用者的身份以及相關操作是否合理,避免AK存在泄露的風險。 |
異常的角色許可權遍曆行為 | 模型檢測到您正在遍曆帳號內多個角色的權限原則,且調用IP不屬於常用的地理位置,需要您核實調用者的身份以及相關操作是否合理,避免AK存在泄露的風險。 |
異常的開放公網訪問資料庫行為 | 模型檢測到您將資料庫變更為可公網訪問,同時添加了IP白名單,且調用IP不屬於常用的地理位置,需要您核實調用者的身份以及相關操作是否合理,避免AK存在泄露的風險。 |
異常的建立高許可權角色行為 | 如果您需要使用角色,通常只用賦予其特定服務的許可權即可,不建議直接賦予角色管理員權限。請您儘快核實並確認該角色的建立是否屬於正常的業務需求。 |
異常的許可權探測行為 | 模型檢測到您正在遍曆多種雲產品的API調用許可權,疑似駭客工具的自動化調用行為,需要您儘快核實調用者的身份以及相關操作是否合理,避免AK存在泄露的風險。 |
RAM使用者登入控制台執行敏感操作 | 檢測到您為RAM使用者啟用了Web控制台登入,並在控制台執行了較為敏感的操作行為。 |
雲助手異常命令 | 檢測模型發現您的雲賬戶通過雲助手OpenAPI在您的伺服器上調用了命令,且命令的內容較為惡意,很有可能是駭客已經擷取了您的AccessKey進行惡意操作。 |
網路連接異常
警示名稱 | 檢測說明 |
主動串連惡意下載源 | 檢測模型通過HTTP流量發現您的伺服器正在嘗試訪問一個可疑的惡意下載源,可能是駭客通過弱口令或命令執行漏洞,從遠程伺服器下載惡意檔案,危害伺服器安全。 |
疑似敏感連接埠掃描行為 | 檢測模型發現您伺服器上的某個進程在短時間內對敏感連接埠發起過多的網路請求,疑似連接埠掃描行為。 |
Windows異常網路連接 | 檢測模型發現您系統上某個進程的網路連接行為異常,很有可能與病毒、木馬或駭客行為有關。 |
反彈shell網路外連 | Security Center檢測到疑似反彈shell網路外連,攻擊者通過該方式與自己的伺服器建立了反向網路連接,通過該串連可以執行任意命令,請及時排查。如果是營運操作或正常業務功能,請忽略警示或者標記本次誤判。 |
可疑連接埠監聽 | 可疑連接埠監聽。 |
內網掃描 | 檢測模型發現您的伺服器有進程在短時間內對多個內網IP的指定連接埠發起了疑似掃描行為,可能是攻擊者在入侵後,嘗試進行橫向移動的行為。 |
手工調用容器API | Security Center發現可疑的手動訪問容器API行為,在Container Service未啟用認證以及鑒權的情境下,攻擊者可通過訪問容器API擷取容器資訊、建立容器、在容器中執行惡意指令、上傳惡意鏡像等。同時有一定機率為營運正常手工操作,請及時排查。 |
惡意指令碼
警示名稱 | 檢測說明 |
發現惡意指令檔 | 檢測模型發現您的伺服器上存在惡意指令檔,該檔案極有可能是攻擊者成功入侵伺服器後植入的,建議您根據惡意指令碼的標籤檢查檔案內容的合法性並進行處理。 |
惡意指令碼代碼執行 | 檢測模型發現您的伺服器上正在執行惡意的Bash、PowerShell、Python等指令碼代碼。 |
發現可疑下載行為 | 檢測模型發現您的伺服器上存在可疑的下載行為,該檔案有可能是攻擊者成功入侵伺服器後執行的命令操作,建議您檢查該命令執行的合法性並進行處理。 |
發現可疑指令檔 | 檢測模型發現您的伺服器上存在可疑指令檔,該檔案有可能是攻擊者成功入侵伺服器後植入的,建議您根據惡意指令碼的標籤檢查檔案內容的合法性並進行處理。 |
可疑指令碼代碼執行 | 檢測模型發現您的伺服器上正在執行可疑的Bash、PowerShell、Python等指令碼代碼。 |
惡意指令碼 | SCRIPT_agentless。 |
包含惡意代碼的檔案 | 檢測模型發現您的伺服器上存在惡意指令檔,該檔案極有可能是攻擊者成功入侵伺服器後植入的,建議您根據惡意指令碼的標籤檢查檔案內容的合法性並進行處理。 |
包含可疑代碼的檔案 | 檢測模型發現您的伺服器上存在惡意指令檔,該檔案極有可能是攻擊者成功入侵伺服器後植入的,建議您根據惡意指令碼的標籤檢查檔案內容的合法性並進行處理。 |
持久後門
警示名稱 | 檢測說明 |
異常代碼駐留記憶體 | Security Center在該進程的記憶體空間中檢測到惡意代碼,這表明有可能是合法的進程啟動後被注入了惡意指令,或者進程檔案本身是惡意程式。 建議您採取如下行動: 1.檢查該進程檔案,如果不是合法檔案則殺死該進程並隔離該檔案,如果是合法進程,請在不影響正常業務的情況下殺死該進程。 2.結合該機器上的其他警示資訊,綜合判斷此次入侵事件對業務造成的潛在影響,進行其他的響應處置。 3.嘗試分析本次入侵事件的入侵原因,修複安全性漏洞。 |
後門進程 | 檢測模型發現您的伺服器上存在一疑似後門的可疑進程,可能是攻擊者為維持許可權遺留下的持久化行為。 |
自啟動後門 | Security Center檢測到您的主機上存在異常的自啟動項,極有可能是惡意軟體或駭客為了保持惡意程式駐留而植入的。如果不處理這些自啟動項,惡意程式很有可能會再次植入。因此建議您使用”病毒防禦“對主機進行全面的掃描和清理,或根據警示中的詳情手動進行處理。 |
異常進程駐留 | 檢測模型發現您的伺服器當前運行中的程式中存在異常進程,可能是惡意程式或利用正常程式載入了惡意代碼。 |
惡意啟動項指令碼 | 檢測模型發現您伺服器上的某些自啟動項檔案可疑,可能是惡意軟體或攻擊者通過計劃任務、自啟動指令碼進行的持久化行為。 |
隱藏進程 | Security Center檢測到該進程是一個隱藏進程,常規的進程查看工具無法顯示。惡意軟體或駭客會使用各種技術來隱藏惡意程式進程,主機很有可能已經感染了Rootkit後門。 |
SSH後門公開金鑰 | 檢測模型發現您的伺服器上存在異常的SSH登入公開金鑰,該SSH公開金鑰歷史上曾被蠕蟲或駭客添加到被入侵的伺服器中以達到許可權維持的目的。 |
CobaltStrike 遠控木馬 | 檢測到該進程的記憶體中存在 Cobalt Strike遠端控制後門。 有可能是駭客使用了進程注入技術,將惡意代碼跨進程注入到該進程之中,即使該程進程的原始檔案是正常的,在被注入後也會執行惡意代碼。 也有可能該程式本身就是惡意程式。 建議您採取如下措施: 1.檢查該進程檔案,如果不是合法檔案則殺死該進程並隔離該檔案,如果是合法進程,請在不影響正常業務的情況下殺死該進程。 2.結合該機器上的其他警示資訊,綜合判斷此次入侵事件對業務造成的潛在影響,進行其他的響應處置。 3.嘗試分析本次入侵事件的入侵原因,修複安全性漏洞。 |
隱藏的核心模組 | 檢測模型發現您的伺服器上存在隱藏的核心模組,極有可能是駭客或惡意軟體植入的Rootkit後門,用於維持系統許可權和隱藏其他惡意行為。 |
Web應用記憶體中駐留後門 | 在主機上的Web應用進程中檢測到可疑的代碼或資料,有可能是漏洞被利用攻擊時所產生的中間代碼或是駭客用於維持許可權安裝的後門,這類後門僅存在於進程記憶體中,不需要在磁碟上儲存檔案。建議您先修複Web應用漏洞並重啟Web應用程式使後門失效,並同時關注主機上其他的相關警示;如果您確定該警示是誤判,則可以選擇忽略或加白警示。 |
Kerberos票據注入攻擊 | Kerberos票據注入攻擊。 |
WMI事件訂閱持久化攻擊 | WMI事件訂閱持久化攻擊。 |
SkeletonKey域控持久化攻擊 | SkeletonKey域控持久化攻擊。 |
進程路徑偽造 | 進程路徑偽造。 |
異常登錄機碼 | 檢測模型發現您伺服器上的某個註冊表配置項可疑,惡意軟體常常會修改某些關鍵註冊表配置來持久化運行或幹擾正常的安全防護。 |
異常的庫檔案裝載 | 異常的庫檔案裝載。 |
進程可執行映像篡改 | 進程可執行映像篡改。 |
SIDHistory注入攻擊 | SIDHistory注入攻擊。 |
動態連結程式庫函數劫持 | 動態連結程式庫函數劫持。 |
異常.NET模組裝載記憶體 | 異常.NET模組裝載記憶體。 |
異常計劃任務 | 異常計劃任務。 |
異常計劃任務 | 異常計劃任務。 |
異常線程執行 | 異常線程執行。 |
進程隱藏行為 | 進程隱藏行為。 |
Web應用記憶體發現異常代碼 | Web應用記憶體發現異常代碼 |
Linux異常服務 | Linux異常服務。 |
Windows異常服務 | Windows異常服務。 |
系統基礎庫檔案劫持 | 系統基礎庫檔案劫持。 |
進程運行時函數劫持 | 進程運行時函數劫持。 |
Linux異常啟動指令碼 | Linux異常啟動指令碼。 |
CobaltStrike 遠控木馬 | 檢測到該進程的記憶體中存在 Cobalt Strike遠端控制後門。 有可能是駭客使用了進程注入技術,將惡意代碼跨進程注入到該進程之中,即使該程進程的原始檔案是正常的,在被注入後也會執行惡意代碼。 也有可能該程式本身就是惡意程式。 建議您採取如下措施: 1.檢查該進程檔案,如果不是合法檔案則殺死該進程並隔離該檔案,如果是合法進程,請在不影響正常業務的情況下殺死該進程。 2.結合該機器上的其他警示資訊,綜合判斷此次入侵事件對業務造成的潛在影響,進行其他的響應處置。 3.嘗試分析本次入侵事件的入侵原因,修複安全性漏洞。 |
Kerberos票據注入攻擊 | Kerberos票據注入攻擊。 |
Linux異常服務 | Linux異常服務。 |
異常計劃任務 | 異常計劃任務。 |
SIDHistory注入攻擊 | SIDHistory注入攻擊。 |
SkeletonKey域控持久化攻擊 | SkeletonKey域控持久化攻擊。 |
Windows異常服務 | Windows異常服務。 |
異常計劃任務 | 異常計劃任務。 |
WMI事件訂閱持久化攻擊 | WMI事件訂閱持久化攻擊。 |
動態連結程式庫函數劫持 | 動態連結程式庫函數劫持。 |
後門進程 | 檢測模型發現您的伺服器上存在一疑似後門的可疑進程,可能是攻擊者為維持許可權遺留下的持久化行為。 |
異常.NET模組裝載記憶體 | 異常.NET模組裝載記憶體。 |
異常代碼駐留記憶體 | Security Center在該進程的記憶體空間中檢測到惡意代碼,這表明有可能是合法的進程啟動後被注入了惡意指令,或者進程檔案本身是惡意程式。 建議您採取如下行動: 1.檢查該進程檔案,如果不是合法檔案則殺死該進程並隔離該檔案,如果是合法進程,請在不影響正常業務的情況下殺死該進程。 2.結合該機器上的其他警示資訊,綜合判斷此次入侵事件對業務造成的潛在影響,進行其他的響應處置。 3.嘗試分析本次入侵事件的入侵原因,修複安全性漏洞。 |
異常的庫檔案裝載 | 異常的庫檔案裝載。 |
異常登錄機碼 | 檢測模型發現您伺服器上的某個註冊表配置項可疑,惡意軟體常常會修改某些關鍵註冊表配置來持久化運行或幹擾正常的安全防護。 |
異常線程執行 | 異常線程執行。 |
系統基礎庫檔案劫持 | 系統基礎庫檔案劫持。 |
進程可執行映像篡改 | 進程可執行映像篡改。 |
進程路徑偽造 | 進程路徑偽造。 |
進程運行時函數劫持 | 進程運行時函數劫持。 |
進程隱藏行為 | 進程隱藏行為。 |
Linux異常終端設定檔 | Linux異常終端設定檔。 |
敏感檔篡改
警示名稱 | 檢測說明 |
篡改系統檔案 | 檢測模型發現您伺服器上有進程嘗試修改、替換系統檔案,可能是攻擊者嘗試通過替換系統檔案以達到躲避檢測、隱藏後門等目的,請及時確認您伺服器上警示的系統檔案是否為真實的系統檔案。 |
挪移系統檔案 | 檢測模型發現您的伺服器上遊進程嘗試挪移系統檔案,可能是攻擊者在入侵過程中,通過挪移被安全軟體監控的系統檔案來達到繞過部分檢測邏輯的目的。 |
Linux共用庫檔案預先載入設定檔可疑篡改 | 檢測模型發現您伺服器上的共用庫檔案預先載入設定檔正在被可疑篡改。 |
容器叢集異常
警示名稱 | 檢測說明 |
調用K8s API進入容器執行可疑指令 | Security Center檢測到調用Kubernetes API進入容器執行可疑指令的行為,常見於跨容器、節點與容器間等多種情境下的橫向移動攻擊。同時也有一定機率為正常業務或營運需求。 |
惡意鏡像Pod啟動 | 檢測到您的K8s叢集中啟動了含有惡意鏡像的Pod,常見於鏡像中存在後門、挖礦程式等惡意程式。 |
K8s Service Account橫向移動 | 檢測模型發現您的某個Service Account請求了歷史基準外的許可權,或多次觸發鑒權失敗。這通常出現在攻擊者入侵到某個Pod內部,並利用從已入侵伺服器擷取的Service Account憑證攻擊API Server的過程,請及時排查。 |
K8s匿名使用者認證成功 | 檢測到匿名使用者成功登入事件,不建議在業務叢集中允許匿名使用者存取重要資源,當叢集暴露在公網且允許匿名使用者存取時風險極高,常見於攻擊者利用匿名認證進入並控制Kubernetes API Server下發任務。請及時排查該操作是否由可信使用者觸發,並限制匿名使用者的存取權限。 |
異常訪問K8s Secrets | 檢測模型發現您的K8s叢集中存在枚舉Secrets的行為,這可能意味著您的叢集遭到入侵後攻擊者正在竊取K8s Secrets中的敏感資訊,請及時排查該操作是否由可信程式或管理員觸發。 |
K8s可疑操作序列 | Security Center檢測到您的K8s叢集某賬戶執行了一系列基準外的高風險指令,請檢查該指令是否由可信的營運人員執行,否則您的叢集很有可能已被攻擊者入侵,如確認為可信行為請添加白名單,濾除後續相似行為的警示。 |
K8s綁定使用者到管理員角色 | Security Center檢測到您的K8s叢集中正在將使用者綁定到高許可權系統角色(ClusterRole),請確認此行為由營運人員或系統組件觸發,否則您的伺服器可能已被攻擊者入侵併通過此方法留存後門賬戶,如確認誤判可在添加白名單中忽略此類警示。 |
疑似K8s服務中間人攻擊(CVE-2020-8554) | 在K8s叢集中使用者可以通過建立Service來劫持叢集流量並轉寄給任意的外部IP以竊取資訊。Security Center檢測到您的K8s叢集中建立的服務中的ExternalIP指定了外部IP,這符合K8s中間人攻擊(CVE-2020-8554)漏洞的利用特徵。 |
Node敏感目錄掛載 | Security Center發現您的Pod啟動時掛載了敏感目錄或檔案,存在容器逃逸風險,一旦Pod被入侵控制,攻擊者有機率通過掛載敏感檔案從Pod逃逸並控制Node節點,建議盡量減少配置Pod掛載宿主機敏感目錄,如根目錄、計劃任務配置目錄、系統服務配置目錄等,如屬於風險可控的必要業務,可以加入白名單並忽略此警示。 |
可疑的訪問K8s API Server請求 | 檢測到可疑的K8s Api Server請求,具體異常原因見警示詳情。同時有一定機率為業務正常操作,可以重點查看該操作請求的來源IP、使用的User Agent,操作的資源以及發起請求的使用者來進行判斷是否正常,如需查看完整的K8s Api Server請求日誌,可根據警示詳情中的K8s審計日誌SLS資訊,使用警示詳情中的auditID欄位進行搜尋。 |
Kubernetes叢集使用者綁定高許可權角色 | 檢測到Kubernetes叢集使用者綁定了高許可權角色,高許可權指對命名空間或整個叢集的重要資源進行讀取和操作的許可權,例如叢集管理員、讀取命名空間下所有secrets、建立pod與登入pod內執行命令、建立高許可權角色等等。當攻擊者擷取到高許可權使用者的憑證時,可利用此類許可權在叢集內進行橫向移動或許可權提升,最終達到控制整個叢集的目的。一類常見攻擊情境是,web應用的Service Account被賦予過高許可權,攻擊者通過web應用漏洞進入pod內,讀取並使用Service Account憑證進一步訪問和控制叢集其他資源。 |
服務賬戶異常建立令牌 | 擷取令牌賬戶通常由叢集真實使用者發起。服務賬戶(Service Account)是 Kubernetes 中的一種內建對象,它與特定的命名空間(Namespace)關聯,可以被 Pod 中的進程用來和 Kubernetes API 服務進行互動。當某服務帳號嘗試擷取其他帳號令牌時,可能發生提權行為。 |
服務帳號修改所擁有叢集角色許可權 | 應用的服務帳號所擁有的叢集角色許可權集合在建立後一般不會由自身服務帳號修改。因此當某服務帳號請求修改自身所綁定的叢集角色許可權時,通常代表發生提權行為。 |
服務帳號修改所綁定叢集角色 | 應用的服務帳號通常不會修改自身綁定的叢集角色。因此當某服務帳號建立並綁定其角色時,通常代表發生提權行為。 |
服務帳號假冒其他使用者主體請求資源 | 應用的服務帳號通常不需要假冒其他使用者主體請求資源。因此當某服務賬戶假冒其他使用者主體發起請求時,可能發生提權行為。 |
服務帳號建立配置系統元件服務帳號Pod | 叢集系統元件服務帳號通常擁有較高許可權,並且不應當被其他工作負載引用。因此當某服務帳號建立配置了系統元件服務帳號的 Pod 時,通常代表發生提權行為。 |
可疑的探測自身許可權集合請求 | 叢集中工作負載通常較少發起檢查自身服務帳號許可權請求,因此當某服務帳號請求擷取自身所擁有的許可權集合時,可能代表該服務帳號被攻擊者控制。 |
節點身份擷取叢集secret | 叢集節點的 kubelet 認證具有擷取secret的許可權,該能力可被攻擊者濫用以擷取叢集中的敏感 secret 資源。因此當某節點身份請求擷取secret時,通常代表發生提權行為。 |
服務帳號建立節點代理資源執行命令 | 節點代理資源可以被用來在 Pod 中執行命令,但叢集中工作負載一般不需要使用此方式。因此,當某服務帳號以節點代理資源方式在Pod中執行命令時,通常代表發生提權行為。 |
服務帳號竊取其他節點Pod | 汙點是一種 Kubernetes 調度特性,用於限制 Pod 是否可被調度到某一節點,攻擊者可在已控制節點的情況下,將失陷節點以外的節點標記不可調度,從而使目標 Pod 被調度到失陷節點,進一步擷取其憑證。當某服務為大量節點建立汙點時,可能發生提權行為。 |
服務帳號直接存取kubelet監聽連接埠 | 10250是kubelet 與API Server 通訊的連接埠,叢集內業務工作負載通常不會使用服務賬戶訪問此連接埠。當某服務帳號直接存取 kubelet 監聽連接埠且請求特定資源時,通常代表發生提權行為。 |
服務帳號建立臨時容器進入Pod | 臨時容器是一種允許開發人員調試運行中 Pod 的方法,開發人員通過建立臨時容器進入目標帳號命名空間。此類操作不應由服務帳號發起,當服務帳號請求建立臨時容器時,通常代表攻擊者使用該身份嘗試進入其他 Pod 進行提權。 |
異常帳戶
警示名稱 | 檢測說明 |
後門帳號 | 檢測到系統中存在異常帳號。駭客或惡意程式會建立新帳號或啟用訪客帳號來維持存取權限,如果這不是正常業務需要使用的帳號,建議登入主機進行處理。 |
網站後門查殺(本地查殺)
警示名稱 | 檢測說明 |
發現後門(Webshell)檔案 | 基於檔案行為的威脅程度進行打分,識別具備危險功能和危險特徵的可疑檔案。這些檔案可能是駭客入侵後植入的,但也可能是含可疑代碼的正常檔案或記錄檔(若日誌存於 web 路徑也可能觸發警示),需管理員確認合法性。 |
漏洞利用
警示名稱 | 檢測說明 |
Web漏洞利用 | Web漏洞利用。 |
主機漏洞利用 | 主機漏洞利用。 |
疑似篡改檔案逃逸 | Security Center檢測到以"寫入模式"開啟重要檔案的行為,常見於通過篡改該檔案達到從容器逃逸到宿主機的情境,可重點排查進程,操作的檔案,檔案開啟的屬性是否來源於正常業務產生的操作,如果是營運操作或正常業務功能,請忽略警示或者標記本次誤判。 |
TOCTOU類漏洞利用 | Security Center檢測到疑似TOCTOU漏洞(time-of-check-to-time-of-use)利用行為,漏洞編號見警示詳情,這類漏洞通常用於容器逃逸、許可權提升等,建議排查相關軟體是否在漏洞影響範圍,並及時修複漏洞。同時存在小機率誤判情境,請標記誤判或加入白名單。 |
容器啟動掛載敏感宿主機目錄 | Security Center發現容器存在風險行為,如以特權方式啟動容器、啟動時掛載敏感目錄或檔案等,在該情境下,攻擊者有幾率利用危險配置逃逸到宿主機,建議不要以特權方式啟動,不要配置Pod掛載宿主機敏感目錄,如根目錄、計劃任務配置目錄、系統服務配置目錄等。 |
異常網路流量
警示名稱 | 檢測說明 |
可疑檔案上傳 | 檢測模型發現您的伺服器流量中存在可疑的檔案上傳流量,並且主機上有相關的可疑檔案落地或者被修改,請根據警示詳情資訊做進一步判斷處理。建議的排查思路如下:1)排查是否有相關聯的webshell檔案警示;2)排查流量中的檔案上傳點是否可以被惡意利用;3)排查主機上該檔案是否是管理員主動上傳、建立、修改、web服務更新或備份等已知的主動行為,請忽略該警示或者添加路徑白名單;4)若確認是惡意的檔案上傳行為,請處理機器上的惡意檔案,並對檔案上傳點進行加固,推薦使用白名單的檔案名稱加固措施。 |
Web應用程式命令執行 | 檢測模型發現您的伺服器流量中存在惡意的Web攻擊流量,並且在端上執行了相對應的命令,這意味著您的服務可能存在漏洞並被駭客利用,請根據警示詳情資訊做進一步判斷處理。 |
礦池通訊流量 | 檢測模型發現您的伺服器存在與礦池IP通訊的流量,您的伺服器可能已被攻擊者入侵併用於挖礦。 |
隧道代理通訊 | 檢測模型發現您的伺服器流量中存在可疑的隧道代理通訊流量,請根據警示詳情資訊做進一步判斷處理。 |
反彈shell流量 | 檢測模型發現您的伺服器流量中存在惡意的反彈shell流量,攻擊者通過該方式與自己的伺服器建立了反向網路連接,通過該串連可以執行任意命令,請根據警示詳情資訊做進一步判斷處理。 |
後門通訊流量 | 檢測模型發現您的伺服器流量中存在惡意的後門通訊流量,攻擊者通過該方式與自己的伺服器建立了遠端控制通道,請根據警示詳情資訊做進一步判斷處理。 |
Java還原序列化攻擊 | 檢測模型發現您的伺服器流量中存在惡意的java反序列攻擊流量,並且java進程有可疑的網路外連或者執行了可疑的命令,這意味著您的服務可能存在漏洞並被駭客利用,請根據警示詳情資訊做進一步判斷處理。 |
Dnslog攻擊 | 檢測模型發現您的伺服器流量中存在惡意的dnslog攻擊流量,並且伺服器訪問了該dnslog網域名稱,這意味著您的服務可能存在漏洞並被駭客利用,請根據警示詳情資訊做進一步判斷處理。 |
容器防逃逸
警示名稱 | 檢測說明 |
高危系統調用 | 常見於利用核心漏洞提權、逃逸行為中使用的關鍵系統調用。 |
利用漏洞或配置不當逃逸 | 常見於利用容器啟動時配置了較高許可權、掛載偽檔案系統等,導致攻擊者可在容器內使用core_pattern、cgroup等系統機制進行逃逸。 |
修改宿主機使用者設定檔 | 常見於容器啟動時掛載了系統使用者設定檔如/etc/passwd、SSH服務配置目錄等,導致攻擊者可通過在容器內修改該類檔案擷取宿主機節點使用者權限。 |
寫入宿主機高危目錄逃逸 | 常見於容器啟動時掛載了系統定時啟動任務目錄(如/etc/crontab等)、自啟動任務目錄(如/etc/init.d等)、觸發式任務目錄(如/etc/profile等)、Kubernetes靜態Pod配置目錄等等,攻擊者可向該類目錄寫入惡意代碼被宿主機自動執行以擷取許可權。 |
運行容器逃逸工具 | Security Center檢測到容器內啟動了逃逸工具。常見於攻擊者入侵容器後,試圖突破容器與宿主節點之間的隔離,以獲得節點主機的存取控制許可權。 |
容器主動防禦
警示名稱 | 檢測說明 |
非鏡像程式啟動 | Security Center檢測到非鏡像程式啟動,常見於容器在運行狀態中被安裝了非鏡像內建的可執行程式,如後門木馬等。同時有一定機率為業務正常安裝需求,請及時處理。 |
檔案防禦 | 檔案防禦。 |
非鏡像程式啟動攔截 | Security Center檢測到非鏡像程式啟動,常見於容器在運行狀態中被安裝了非鏡像內建的可執行程式,如後門木馬等。同時有一定機率為業務正常安裝需求,請及時處理。 |
風險鏡像阻斷
警示名稱 | 檢測說明 |
叢集啟動互連網惡意鏡像 | 叢集啟動互連網惡意鏡像。 |
叢集啟動未掃描鏡像 | 叢集啟動未掃描鏡像 。 |
叢集啟動存在漏洞的鏡像 | 叢集啟動存在漏洞的鏡像。 |
叢集啟動存在惡意檔案的鏡像 | 叢集啟動存在惡意檔案的鏡像。 |
叢集啟動基準檢查未通過的鏡像 | 叢集啟動基準檢查未通過的鏡像。 |
叢集啟動存在敏感檔案的鏡像 | 叢集啟動存在敏感檔案的鏡像。 |
叢集啟動存在風險構建指令的鏡像 | 叢集啟動存在風險構建指令的鏡像。 |
可信异常
警示名稱 | 檢測說明 |
系統啟動組件可信性事件 | 檢測ECS可信執行個體的可信狀態、處理相關狀態異常等操作,更多資訊參考使用可信執行個體。 |
其他
警示名稱 | 檢測說明 |
DDoS | DDoS流量攻擊。 |
Security Center用戶端異常離線 | 檢測模型發現您伺服器上的Security Center用戶端主進程AliYunDun出現離線情況,且在一定時間內未重新上線,因此推送警示。該情況可能是因為網路不穩定導致的暫時現象,也可能是因為遭到惡意駭客入侵導致Security Center用戶端被強制卸載。請登入伺服器確認Security Center用戶端進程是否處於運行狀態,如果不在請及時啟動。 |
雲外主機Security Center用戶端異常離線 | 檢測模型發現您伺服器上的Security Center用戶端主進程AliYunDun出現離線情況,且在一定時間內未重新上線,因此推送警示。該情況可能是因為網路不穩定導致的暫時現象,也可能是因為遭到惡意駭客入侵導致Security Center用戶端被強制卸載。請登入伺服器確認Security Center用戶端進程是否處於運行狀態,如果不在請及時啟動。 |