网盾网络安全培训学校,培养技术精英
全国免费咨询电话: 15527777548/18696195380

位置:首页 > 网络安全

Java程序恶意行为监控组件

2021-07-26 15:41:42 来源: freebuf
简介Java程序恶意行为监控组件

1. 前言

Java程序所执行的业务层面的操作,可以通过查看应用日志了解,但其系统行为缺乏相应的日志,难以根据特定日志快速判定Java程序是否出现了非预期的行为。

以下提供对Java程序行为进行监控的轻量级可快速上线的组件,可以用于辅助判定是否出现了入侵行为。

提供组件的目的

Java程序可能存在系统漏洞,当漏洞被利用时,可能会产生未知的行为,针对关注的Java程序的未知行为进行监控并告警,可以及时发现系统被入侵的情况。

行为监控组件源代码

行为监控组件源代码可从 https://github.com/Adrninistrator/java-behavior-control下载。

可以达到什么效果

对Java程序的创建进程、网络行为进行监控,当出现不在白名单内的未知的行为时,可以由默认处理类,或自定义处理类进行处理。

默认处理类会进行告警,告警的内容包括对应的行为,以及线程调用堆栈,便于分析系统是否被攻击,或漏洞触发的执行过程。

自定义处理类中可以实现自己需要的功能,例如调用监控系统接口、按照自定义格式记录日志、阻断行为等。对未知行为进行阻断存在风险,可能会影响正常功能,需要慎重处理。

建议引入行为监控组件的系统

建议对接入互联网的系统引入行为监控组件,原因如下:

a. 外层系统相对更容易被入侵;

b. 减少需要配置及观察的机器数量。

行为监控原理

Java提供了安全管理器机制,创建进程、网络行为等相关的API在执行前会调用安全管理器进行权限检查。

可实现自定义的安全管理器并进行设置,当相关的行为发生时,会触发自定义安全管理器的检查方法,可以起到监控或阻断的作用。

是否会对正常功能造成影响

JDK 1.8中有约410处对安全管理器的调用,行为监控组件只是实现了安全管理器并增加了判断与打印日志,不影响原有功能。

若存在多个安全管理器,也会调用原有安全管理器的检测方法,避免覆盖已存在的安全管理器。

行为监控组件支持在配置文件发生变化时动态读取,经测试反复加载时(包含1万行的配置文件,读取8万次以上),GC情况正常。

是否会影响性能

不会对系统性能造成影响。经测试,白名单文件中包含1万行数据,使用100并发执行会被监控的行为,当不需要记录告警日志时,行为监控组件处理耗时0 ms;当需要记录告警日志时,行为监控组件处理耗时约30 ms。每种未知行为的最大告警次数可配置。

是否会带来其他安全问题

行为监控组件带来其他安全问题的可能性极小,未使用序列化与反序列化,未提供前端可访问的接口,未执行系统命令,未执行网络操作。

行为监控组件的编译依赖只有org.slf4j:jcl-over-slf4j:1.7.30与commons-io:commons-io:2.7,不存在已知漏洞。

是否会频繁告警

理论上不会出现频繁告警。Java程序产生的需要关注的行为中,正常行为是可以穷举的,范围并不大,将已知的行为配置到白名单后,可以尽可能避免误报。

例如Java程序通常很少需要创建进程(除非由于业务功能需要主动调用);需要监听的端口、需要允许访问的客户端IP、需要访问的远程服务IP与端口,都是固定的,很少发生改变;设置安全管理器的操作极少被调用(除非由于业务功能需要主动调用)。

Java程序如何使用行为监控组件

a. 在工程中添加行为监控组件的Maven依赖;

b. 在初始化时调用行为监控组件的方法;

c. 在日志配置中增加行为监控组件相关的配置。

白名单如何配置

行为监控组件针对不同类型的行为使用单独的白名单配置文件。

配置文件可在Java程序启动前配置,或在Java程序执行时配置,当配置文件发生变化时,行为监控组件会重新读取配置文件,检测配置文件变化的周期可以配置。

监控如何配置

依赖实际使用的监控系统。

若监控系统支持对日志文件内容进行监控,可监控行为监控组件输出的日志文件;

若监控系统只支持其他的方式进行监控,则可在自定义处理类中进行处理。例如监控系统只支持通过HTTP接口进行上报时,可在自定义处理类中调用其接口。

已知的正常行为

与实际的应用有关,例如当用户通过公网访问HTTP服务时,需要访问Tomcat提供的HTTP端口;当应用访问数据库服务时,需要访问数据库提供的端口;当应用访问其他系统的服务时,需要访问其他系统提供的端口。

2. 行为监控组件上线步骤

a. 修改Java程序代码,引入行为监控组件;

b. 测试环境测试,验证对正常功能是否有影响,观察正常的行为;

c. 生产环境灰度发布,验证对正常功能是否有影响;

d. 生产环境全量发布,观察正常的行为;

e. 将正常行为导入白名单配置。

3. 行为监控组件引入方法

3.1. maven依赖

com.github.adrninistrator:java-behavior-control:0.0.1

3.2. 启用行为监控组件

可在Java Web应用原有的初始化操作中,如ServletContainerInitializer、SmartLifecycle等实现类中调用行为监控组件的启用方法。

行为监控组件提供的启用方法为BehaviorControl.register(),如下所示

参数说明如下:

public static void register(String confPath)
public static void register(String confPath, BehaviorHandlerInterface handler, long monitorInterval, String dftAlertFlag, int maxAlertTimes)

  说明
confPath 保存配置文件的目录,结尾可包含或不包含目录分隔符“/"”\"。配置文件某行的内容若前后包含空格,在读取时会被去除
handler 自定义处理类实例
monitorInterval 监控配置文件发生变化的时间间隔,单位为毫秒,默认:30000L,代表30秒
dftAlertFlag 默认的告警关键字,用于在出现异常时告警,默认:OnError
maxAlertTimes 某个未知行为的告警最大次数,可为0,默认:3

前一个方法对于参数2至参数5分别使用默认值:30秒、new DefaultAlertBehaviorHandler(),“OnError”、3次,后一个方法可对参数2至参数4进行设置。可根据需要调用。

3.2.1. 自定义处理类

自定义处理类需要实现BehaviorHandlerInterface接口,需要实现的方法及说明如下:

方法 说明
handleExec 监控到创建进程行为时进行处理
handleListen 监控到监听端口行为时进行处理
handleAccept 监控到接受Socket连接行为时进行处理
handleConnect 监控到建立Socket连接行为时进行处理
handleSetSecurityManager 监控到设置安全管理器行为时进行处理

以上方法的具体参数可参考代码中的注释,在方法中若抛出SecurityException异常,可以阻断对应行为。

3.3. 参数设置

3.4. 日志配置

若使用log4j2,可参考以下格式对行为监控组件的日志进行配置

在<Appenders>添加: <RollingFile name="behaviorControlAppender" fileName="${sys:index.log.home}/behaviorControl.log" filePattern="${sys:index.log.home}/behaviorControl.log.%d{yyyy-MM-dd}.%i.log.gz"> <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.SSS} [%t] %-5p %c{1}.%M(%F:%L - %m%n" /> <Policies> <TimeBasedTriggeringPolicy /> <SizeBasedTriggeringPolicy size="1024 MB" /> </Policies> <DefaultRolloverStrategy max="512" /> </RollingFile>在<Loggers>添加: <AsyncLogger name="behaviorControl" level="info" additivity="false" includeLocation="true"> <AppenderRef ref="behaviorControlAppender" /> </AsyncLogger>

3.5. 配置文件目录建议

建议将白名单配置文件保存在不包含其他文件的目录中,因为需要对配置文件目录中的文件变化进行监控。

行为监控组件在初始化时会创建配置文件目录,不需要手工创建。

若应用部署在docker中,则配置文件目录需要使用docker对应的母机会挂载的目录,防止进程重启后文件丢失。

因此建议配置文件目录使用应用日志目录的“config”子目录,示例如下

System.getProperty("index.log.home") + File.separator + "config"

4. 未知行为默认告警文件与关键字

行为监控组件记录的默认日志文件名为“behaviorControl.log”。

不同类型的未知行为对应的默认告警关键字如下:

行为类型 默认告警关键字
创建进程 behv_alert_exec
监听端口 behv_alert_listen
接受Socket连接 behv_alert_accept
建立Socket连接 behv_alert_connect
设置安全管理器 behv_alert_setsecman

未知行为进行告警日志中,在对未知行为的操作内容前后均记录了“###”,便于提取。

5. 未知行为告警说明

当行为监控组件发现以下不在白名单中的未知行为出现,且对应操作内容的告警次数未超过允许的最大值时,会在日志中输出告警信息。

5.1. 创建进程

告警示例如下所示:

exec ###calc.exe### behv_alert_exec

对于未知的创建进程行为,若不在白名单内,判断对应行为的告警次数是否超过最大值,用于判断的操作内容为被执行程序的相对路径或绝对路径,如上示例中的“calc.exe”。

即对于每个被执行的程序,最多产生指定次数的告警。

5.2. 监听端口

告警示例如下所示:

listen ###8888### behv_alert_listen

对于监听端口的未知行为,若不在白名单内,判断对应行为的告警次数是否超过最大值,用于判断的操作内容为监听的端口,如上示例中的“8888”。

即对于每个监听的端口,最多产生指定次数的告警。

5.3. 接受Socket连接

告警示例如下所示:

accept ###10.0.0.1### behv_alert_accept

对于未知的接受Socket连接行为,若不在白名单内,判断对应行为的告警次数是否超过最大值,用于判断的操作内容为对应的客户端IP,如上示例中的“10.0.0.1”(只能获取到客户端使用的端口,无法获取到客户端连接的本机端口,因此不处理端口)。

即对于每个客户端IP,最多产生指定次数的告警。

5.4. 建立Socket连接

告警示例如下所示:

connect ###10.0.0.1:8888### behv_alert_connect

对于未知的建立Socket连接行为,若不在白名单内,判断对应行为的告警次数是否超过最大值,用于判断的操作内容为对应的服务器IP与端口,如上示例中的“10.0.0.1:8888”。

即对于每个服务器IP及端口,最多产生指定次数的告警。

5.5. 设置安全管理器

告警示例如下所示:

setSecurityManager behv_alert_setsecman

对于设置安全管理器行为,最多产生指定次数的告警(对于设置安全管理器行为,没有对应的被操作对象,需要根据调用堆栈分析)。

6. 白名单文件

行为监控组件在初始化时,若白名单文件不存在,会创建白名单文件,不需要手动创建。

白名单文件中每条记录占一行。

6.1. 白名单文件-创建进程

创建进程行为的白名单文件名为“exec.conf”。

格式为:[cmd],即被执行程序的相对路径或绝对路径。

6.2. 白名单文件-监听端口

监听端口行为的白名单文件名为“listen.conf”。

格式为:[port],即监听的端口。

6.3. 白名单文件-接受Socket连接

接受Socket连接行为的白名单文件名为“accept.conf”。

格式为:[ip],即对应的客户端IP。

6.4. 白名单文件-建立Socket连接

建立Socket连接行为的白名单文件名为“connect.conf”。

格式为:[ip]:[port],即对应的服务器IP与端口。

7. 常用端口

Tomcat的shutdown端口

在Tomcat的Server.xml文件中配置,如“<Server port="8005"”,各应用配置的端口不同。

Tomcat的JMX端口

若Tomcat应用启动脚本中有配置启动JMX,则会监听两个随机端口,监听JMX端口比启用行为监控组件要早,不会被监控到。

8. 白名单配置

8.1. 白名单配置-创建进程

在创建进程行为的白名单文件中,需要配置Java程序会启动的进程的相对路径或绝对路径,若不会启动进程则不需要配置。

8.2. 白名单配置-监听端口

在监听端口行为的白名单文件中,需要配置Tomcat的shutdown端口,可能会被行为监控组件监控到,与行为监控组件的启用时机有关。

8.3. 白名单配置-接受Socket连接

对于接受Socket连接的行为,若对应的客户端IP为"127.0.0.1"或“localhost”,不会告警,也不需要添加至白名单内。

当Tomcat使用APR Connector时,访问Tomcat的HTTP端口不会使Tomcat发生Socket的accept行为,此类情况不需要在白名单中对对应的客户端IP进行配置。包括用户通过正常业务功能访问Tomcat的HTTP接口等情况。

可参考附录“判断Tomcat是否使用APR Connector”。

8.4. 白名单配置-建立Socket连接

对于建立Socket连接的行为,若对应的服务器IP为"127.0.0.1"或“localhost”,不会告警,也不需要添加至白名单内。

9. 从日志中提取行为到白名单的脚本

可从日志中提取行为到白名单,提取脚本如下所示,可在日志目录中执行。

9.1. 从日志提取到白名单-创建进程

mv config/exec.conf config/exec.conf.bak grep behv_alert_exec behaviorControl.log | awk -F '###' '{print $2}' | sort | uniq | sort >> config/exec.conf.bak cat config/exec.conf.bak | sort | uniq | sort > config/exec.conf

9.2. 从日志提取到白名单-监听端口

mv config/listen.conf config/listen.conf.bak grep behv_alert_listen behaviorControl.log | awk -F '###' '{print $2}' | sort | uniq | sort >> config/listen.conf.bak cat config/listen.conf.bak | sort | uniq | sort > config/listen.conf

9.3. 从日志提取到白名单-接受Socket连接

mv config/accept.conf config/accept.conf.bak grep behv_alert_accept behaviorControl.log | awk -F '###' '{print $2}' | sort | uniq | sort >> config/accept.conf.bak cat config/accept.conf.bak | sort | uniq | sort > config/accept.conf

9.4. 从日志提取到白名单-建立Socket连接

mv config/connect.conf config/connect.conf.bak grep behv_alert_connect behaviorControl.log | awk -F '###' '{print $2}' | sort | uniq | sort >> config/connect.conf.bak cat config/connect.conf.bak | sort | uniq | sort > config/connect.conf

10. 附录

10.1. 判断Tomcat是否使用APR Connector

使用jmap命令查看Tomcat加载的AbstractProtocol实现类,可以确定Tomcat使用的Connector类型。

Linux系统可使用以下命令查看:

jmap -histo [PID]|grep Http|grep Protocol

Windows系统可使用以下命令查看:

jmap -histo [PID]|findstr Http|findstr Protocol

当Tomcat使用Java HTTP Connector时,以上命令执行结果会出现

“org.apache.coyote.http11.Http11Protocol、org.apache.coyote.http11.Http11Protocol$Http11ConnectionHandler”。

当Tomcat使用APR Connector时,以上命令执行结果会出现

“org.apache.coyote.http11.Http11AprProtocol、org.apache.coyote.http11.Http11AprProtocol$Http11ConnectionHandler”。