应对企业安全建设,有哪些上上策?
【编者按】不久前国内Windows平台发生了APT攻击,杀伤力波及范围极大。由此反映出了企业长期存在的一些安全问题和误区,分别体现在:1、运维安全;2、“重边界,轻内在”的安全建设误区;3、内网横向移动行为;4、威胁情报安全前置不足;5、攻击者溯源困难。基于此,文章提出了几点针对性建议。
本文首发于安全牛,作者@默安科技 刘隽良;由编辑,供行业人士参考。
驱动人生遭遇APT攻击事件
不久前,国内Windows平台下免费驱动管理软件“驱动人生”通过软件自动升级的方式向用户推送了后门病毒DTSealer,该程序利用“永恒之蓝”高危漏洞进行局域网内的大范围传播,同时回传被感染用户电脑CPU以及IP地址等具体信息到攻击服务器,之后下载恶意代码进行执行。此次感染面积巨大,半天时间内已有数万用户电脑受到感染。
根据专业安全机构事件回溯,发现这是一场早有预谋的APT攻击,攻击者潜伏时间长达1个多月,并最终选择在驱动人生技术人员团队出国团建之时忽然爆发攻击,利用驱动人生系列软件的升级程序进行攻击,达到构建僵尸网络,安装云控木马、组网挖矿等非法目的。
根据安全机构事后还原,得到APT攻击链条如下:
1)前期准备
攻击者收集驱动人生公司信息,包括办公出口IP,开发运维岗位员工名册,部分服务器内网IP,可能嗅探确认了被修改的远程桌面端口。
2)实施入侵
11.12日10:53分:外网机器通过代理登录到跳板机(222)和编译机(208)。
3)横向移动
11.13日:从9点开始,对192网段下发SMB爆破,且针对性使用运维岗员工姓名(LiuXX,SuXX,ChenXX,ZeXX)作为帐号名,主要目标为ZeXX,发现目标机器(155);
11.15日17:17分:使用ZeXX帐号登录到升级服务器;
12.4日17:01分:使用administrator帐号登录到升级服务器;
4)准备攻击
12.5日:本次攻击中使用的模仿下载域名ackng.com被注册。
5)发动攻击
12.13日14:22分:再次使用administrator帐号登录到升级服务器,疑似分析登录服务器配置方案;
12.14日14:15分:登录到升级服务器,备份并修改ServerConfig.xml文件,同时登录SQL数据库后插入恶意下载链接条目,并于当天约18:00删除插入的条目;
6)毁尸灭迹
12.15日17:12分:攻击者再次登录升级服务器,删除了各类操作记录,同时还原了ServerConfig.xml文件。
事件分析
该次攻击明显是一次精心准备的针对驱动人生公司的APT攻击活动,攻击者在进行攻击前掌握了该公司大量内部信息,包括驱动人生公司内部人员的姓名、职位信息;跳板机的帐号密码(未知渠道泄漏);升级服务器配置策略;甚至包括公司的团建计划等。
攻击者在内网潜伏长达1个月后,在驱动人生公司相关技术人员出国团建时,发起攻击行动:修改配置文件,下发木马程序。
从此次事件中,也反映出了企业长期存在的一些安全问题和误区,分别体现在如下几个方面:
1、运维安全不可忽视
此次事件中,暴漏出企业运维的两大安全问题:弱口令和密码复用。
据透露,此次攻击事件中,早在事发一个月前的11.13日,升级服务器被内网机器(192.168.xx.208)尝试过SMB爆破,但并未直接成功。其中值得关注的是,192.168.xx.208在尝试SMB爆破时,使用了4位驱动人生公司员工姓名拼音作为用户名尝试,包括一位已离职约半年的员工,这些员工岗位均为后台开发,运维。而爆破过程中,从爆破开始到结束,爆破时间极短且爆破次数极少(20+次),因此安全机构猜测,爆破的密码字典非常有限,反映出攻击者已熟知这些员工信息。从中暴漏出运维人员使用自身姓名相关拼音作为口令的弱口令问题,导致攻击者在进行爆破时具有极高的针对性。
同时,在此次事件中,被攻击者攻破的跳板机与192.168.xx.208,192.168.xx.155等机器的管理员密码相同,也就是说,如果有人掌握了该公司跳板机管理员密码,理论上是可以通过跳板机控制到内网多台其它机器,严重暴漏了密码复用问题,导致安全认证形同虚设。
2、“重边界,轻内在”的安全建设误区
这是目前很多企业存在的一个安全建设误区,认为只要自己防火墙、IPS、Waf等边界安全建设足够完善,就不会给攻击者可乘之机,对内网安全建设缺乏意识。导致当这些依赖于规则或已知策略的边界安全产品被绕过或失效时,攻击者进入内网后,面对的是一览无余、一马平川的攻击利好局面。
