當網(wǎng)絡安全公司嘗試入侵自己時會怎樣?
責編:gltian |2019-03-29 14:01:28安全公司自黑會發(fā)生什么情況?
作為一家安全公司,我們花了大量時間指導客戶使用擊退網(wǎng)絡罪犯的各種工具和技術。2018給沒做好安全的人好好上了一課。咨詢公司NordVPN的數(shù)據(jù)表明,2018年里,超過10億人受到11家不同公司13起數(shù)據(jù)泄露的影響。2019年,情況不會有太大改觀,網(wǎng)絡罪犯仍然逍遙法外,且對某些大型跨國企業(yè)虎視眈眈,就盼著一朝得手能夠卷走眾多用戶數(shù)據(jù),盡管大企業(yè)的安全資源更豐富。
但也不是只有Facebook或谷歌這樣的業(yè)界巨輪才是網(wǎng)絡罪犯的目標,沒有哪家公司能逃過黑客及其手中鍵盤的青睞,即便是安全公司。
所以,我們一向有自黑的習慣,喜歡對自己發(fā)起安全攻擊。此類演習的目的是讓我們更好地了解自身系統(tǒng)在面對網(wǎng)絡攻擊時的表現(xiàn),以及,一旦真正面對惡意對手,我們的規(guī)程在阻止惡意侵犯上的效果如何。
最近的演習中,我們發(fā)現(xiàn)了自身防御中的一個漏洞,其價值遠超我們承認作為安全提供商還存在漏洞的尷尬與不適。
來自滲透測試員的攻擊
我們SensePost紅隊最近的一次滲透測試,建立在攻擊者已經(jīng)侵入邊界,并在內(nèi)網(wǎng)某主機建立了“灘頭陣地”的假設上。“建立灘頭陣地”是我們SensePost團隊的一貫做法,其實就是執(zhí)行橫向暴力攻擊,用從開源技術(比如LinkedIn)中收集的雇員信息構(gòu)建一張可信的活動目錄(AD)用戶ID列表。
下一步就是對整張用戶列表嘗試一系列常用口令爆破,直到匹配出現(xiàn),獲取到某用戶賬戶的訪問權(quán)。利用該用戶的憑證,SensePost團隊就能入手所有活躍用戶列表。重復此一過程,最終獲得管理員用戶賬戶訪問權(quán)。利用WannaCry黑客事件中臭名昭著的Mimikatz工具,團隊抽取到了緩存的域管理員憑證。
SensePost團隊一天之內(nèi)就黑到了域管理員的賬戶。撬開通路的撬棍就是一張可靠的樣例口令表。
口令陷阱
你或許會認為暴力破解攻擊之所以能成功是因為用戶設的口令太“弱”了。
事實上,絕大多數(shù)口令都符合建議的安全憑證標準——字母數(shù)字混搭且長度在8-12個字符之間,還夾雜有標點符號和大寫字母。這些口令那么容易被破的原因就在于它們使用了某些模式,無論多“強壯”,都是可預測的。
客戶環(huán)境的數(shù)據(jù)告訴我們,1/3(32%)的口令以大寫字母開頭,以數(shù)字結(jié)尾。1/8(12%)的口令含有年份,1/11(9%)以3個數(shù)字結(jié)尾。聽起來是不是有種熟悉感?你現(xiàn)在至少有一個賬戶用的口令就遵從上述模式之一吧?
口令越容易預測,網(wǎng)絡罪犯就越容易構(gòu)筑模板口令用在高度針對性的暴力破解攻擊中。很明顯,安全公司自身也難以幸免。
遺留主機中的幽靈
防線上的裂縫可不止口令一個。我們的假想敵還會利用辦公室角落堆著落灰的老舊主機,利用它們身上未修復的遺留漏洞。雖然攻擊者不能從遺留系統(tǒng)中盜取有用數(shù)據(jù)——早就被淘汰、沒放什么數(shù)據(jù)、沒接入環(huán)境,但這從來都不是攻擊者登錄老舊系統(tǒng)的目的所在。他們的目的是以此為橋,跨域訪問。
竊取控制
我們假想中的黑客不止一次地耍弄我們,先是惱人的口令,然后是遺留系統(tǒng)。第三次沖擊來自通過微軟動態(tài)數(shù)據(jù)交換(DDE)入侵終端的受控實驗。
我們的黑客朋友以電子郵件發(fā)起下一階段的攻擊,郵件中附帶含有嵌入式DDE對象的Word附件。這能是他們訪問并觸發(fā)外部腳本對象,彈出微軟Excel中常見的“公式結(jié)束”框,詢問用戶是否啟用編輯。點擊“是”就會下載PowerShell,賦予我們的網(wǎng)絡對手遠程命令與控制權(quán)。
我們的檢測技術能發(fā)現(xiàn)這種操作,因為DDE是不被允許的。一發(fā)現(xiàn)警報,我們就可以監(jiān)視注冊表修改情況——標志著主機可能遭到入侵。我們還注意到該主機試圖與外部源通信,用PowerShell與C2服務器溝通。
不過,盡管測試發(fā)現(xiàn)了嚴重漏洞,我們的檢測平臺還是在各個階段識別出了攻擊指征,我們能夠近實時地跟蹤滲透進程。這一點令人欣慰,也是檢測之所以是“深度防御”策略重要部分的原因所在。
經(jīng)驗教訓
需要著重強調(diào)的是,當今數(shù)字時代,公司企業(yè)不分行業(yè)、不分規(guī)模,都面臨網(wǎng)絡攻擊或數(shù)據(jù)泄露的威脅,不是是否會發(fā)生,而是何時發(fā)生的問題。
持續(xù)的網(wǎng)絡對抗中,自我意識是關鍵——沒發(fā)現(xiàn)漏洞就沒發(fā)修補。盡管此類攻防演習會挫傷企業(yè)網(wǎng)絡安全團隊的自尊,我們所做的這種實驗卻可以洞察攻擊者可能觸碰到你數(shù)據(jù)的途徑。措手不及要不得,你需要經(jīng)常強化系統(tǒng)和技術以了解自身業(yè)務風險;也別怕模擬和預測假設危機會弄臟雙手,防患于未然好過亡羊補牢。
注:本文來自于SecureData首席安全策略官 Charl van der Walt 分享其滲透測試團隊的自黑經(jīng)驗。
- 周鴻祎領銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地無人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡安全永恒的“十大法則”
- 關于征集數(shù)據(jù)安全評估標準化應用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!