一次常规安全评估演变为一场应急响应。安全研究员在客户的反向网关集群中发现流量异常——NFS文件读取多出8192字节加密数据,且文件打开请求的字符串被篡改。这暗示内核层面可能存在未被发现的恶意修改。
异常流量与加密身影
该客户网关运行定制Linux内核与静态Go应用,配置通过NFS挂载。研究员为分析PII泄露风险,搭建测试环境并比对生产流量,发现PII相关的HTTPS连接时长分布异常(偏斜且右移),远非预期正态分布。由于网关每日轮换重启,研究员通过端口镜像抓取NFS流量,试图获取生产配置文件。
在提取NFS Read回复包时,他注意到实际数据长度比读取请求多出8192字节,且该段数据熵值均匀,呈现加密特征;而正常挂载NFS后返回的EOF为1,并未出现额外加密块。对比生产与测试环境的NFS Open请求,字符串从正常的open id:变成了open-id:——一个细微但不容忽视的差异。研究员初步判断数据包并非简单损坏,可能是在传输或内核读路径中被拦截并插入加密内容。
内核嫌疑
所有网关运行的是无模块的单体内核,难以插入传统rootkit。但该加密块在NFS回应中一致出现,且不曾出现在本地测试挂载里,指向内核NFS处理逻辑被篡改。研究员推测攻击者可能通过修改内核源码并重新编译,或利用启动介质写入恶意代码,在NFS文件系统层截获配置并注入加密负载。由于Go应用不依赖内核模块,攻击者可能故意绕过了应用层检测,而在更底层埋下后门。
尽管调查尚未完结,但这一发现已迫使客户重新审视其构建与部署管道——若内核被动手脚,所有基于校验与签名的安全模型都将失效。
编注:信源为个人技术博客,作者为安全研究员;材料覆盖事件开头与关键发现,未给出最终结论与攻击者身份;读者可关注内核供应链安全风险。