SOAR技术文章【转载】别慌，这回你有 SOAR——关于 PyPI 仓库遭投毒事件的自动化应急响应

jokerface · 2020年10月10日 · 最后由 xiaobing 回复于 2020年10月12日 · 3018 次阅读

本帖已被设为精华帖！

SOAR 是 Security Orchestration, Automation and Response（安全编排、自动化和响应）的缩写，近年来备受业界关注。

前情

还记得此前的 Putty 后门、XShell 后门以及 XCode Ghost 事件吗？

今天，腾讯安全应急响应中心及时发布安全通知【PyPI 官方仓库遭遇 request 恶意包投毒】，将业界视角重新拉回【软件供应链安全】这一关键领域。

以下为引用：

“近日，腾讯洋葱反入侵系统检测发现 PyPI 官方仓库被恶意上传了 request 钓鱼包，由于国内开源镜像站均同步于 PyPI 官方仓库，所以该问题不仅会通过官方仓库，还可能通过各个开源镜像站影响广大用户，腾讯安全应急响应中心（TSRC）秉承共建安全生态的原则，TSRC 在此建议各开源镜像站以及对开源镜像站有依赖的公司，请尽快自查处理，确保恶意库得到清除，保障用户安全。”

是的，应急响应的警报拉响了！如今，有无数的企业在使用 Python 开发，大量的 Linux 发行版都在使用 Python。而开发者惯用的仓库 PyPI 更是所有 Python 开发者离不开的基础仓库。一旦它被投毒，影响巨大……

作为国内领先，国际暂不很知名的 SOAR 产品厂商，上海雾帜智能科技有限公司第一时间嗅到了应急响应的气味，并组织安全专家以最快速度拿出了软件供应链安全应急响应剧本，帮助我们的客户加速应对突发事件。

响应

打怪靠装备，应急响应得靠 HoneyGuide！雾帜智能安全专家在收到腾讯安全应急响应中心发布的安全通告后，立即开展了分析研判，其中重点情报如下：

基于此，雾帜专家迅速拟定应急响应策略，如下：

先止血：第一时间阻止域名解析或解析到指定服务器
同步查存：查询企业内部是否有中招的终端
- 查询过往的 DNS 解析日志
- 查询防火墙会话列表历史记录，匹配 CC 服务器 IP 地址
- 查询上网行为管理系统中恶意 URL 的访问记录
根治：排查企业 Python 库是否受感染
监控：对重点域名、IP 进行访问监控或拦截
通知：人员通知、修复通知、培训通知等

在没有自动化应急响应工具的情况下，企业可以依据上述思路开展人工排查。如果已经部署了 SOAR 解决方案产品 HoneyGuide，则可以通过剧本编排的方式进行快速响应。

安全剧本编排

正式启动剧本编排前，需要对安全响应过程中的每个环节进行能力识别，判定出要在哪个系统或工具上执行哪些动作，如下图所示：

安全动作	相关系统	具体功能	备注
DNS 解析拦截	DNSmasq、OneDNS、Windows AD、Bind	DNS 请求阻止、DNS 请求污染	企业可根据自身 IT、安全能力进行选择。
查询历史域名请求日志	DNSmasq、OneDNS、Windows AD、Bind、ElasticSearch	查询指定域名的解析日志，至少需要输出源 IP 字段	有些企业已经收集了 DNS 解析日志，因此没有必要直接去调用 DNS 系统接口，调用日志管理系统接口即可。
查询历史 IP 访问日志	防火墙、日志管理系统	查询指定目标 IP 地址的历史访问记录，包括五元组信息。	通常网络会话信息较多，设备本身存储量有限，企业可能已经使用了 ElasticSearch、Splunk 等日志管理解决方案。
文件或组件排查	EDR 终端、青藤云终端、阿里云 API、腾讯云 API	在目标系统上执行问题组件的检查命令，如：“pip list	grep request
监控	流量审计系统、上网行为管理系统、DNS 服务器	启动抓包功能、监控指定 IP 会话、监控指定域名解析	按需执行
通知	钉钉、微信、Slack、蓝信、飞书、飞信	发送消息，内容根据具体需要确定	通过公共接口发消息，请注意敏感信息的脱敏。