2018年12月14日,國內Windows平臺下免費驅動管理軟件“驅動人生”通過軟件自動升級的方式向用戶推送了後門病毒DTSealer,該程序利用“永恆之藍”高危漏洞進行局域網內的大範圍傳播,同時回傳被感染用戶電腦CPU以及IP地址等具體信息到攻擊服務器,之後下載惡意代碼進行執行。此次感染面積巨大,半天時間內已有數萬用戶電腦受到感染。
根據專業安全機構事件回溯,發現這是一場早有預謀的APT攻擊,攻擊者潛伏時間長達1個多月,並最終選擇在驅動人生技術人員團隊出國團建之時忽然爆發攻擊,利用驅動人生系列軟件的升級程序進行攻擊,達到構建殭屍網絡,安裝雲控木馬、組網挖礦等非法目的。
根據安全機構事後還原,得到APT攻擊鏈條如下:
1)前期準備
攻擊者收集驅動人生公司信息,包括辦公出口IP,開發運維崗位員工名冊,部分服務器內網IP,可能嗅探確認了被修改的遠程桌面端口。
2)實施入侵
11.12日10:53分:外網機器通過代理登錄到跳板機(222)和編譯機(208)。
3)橫向移動
11.13日:從9點開始,對192網段下發SMB爆破,且針對性使用運維崗員工姓名(LiuXX,SuXX,ChenXX,ZeXX)作為帳號名,主要目標為ZeXX,發現目標機器(155);
11.15日17:17分:使用ZeXX帳號登錄到升級服務器;
12.4日17:01分:使用administrator帳號登錄到升級服務器;
4)準備攻擊
12.5日:本次攻擊中使用的模仿下載域名ackng.com被註冊。
5)發動攻擊
12.13日14:22分:再次使用administrator帳號登錄到升級服務器,疑似分析登錄服務器配置方案;
12.14日14:15分:登錄到升級服務器,備份並修改ServerConfig.xml文件,同時登錄SQL數據庫後插入惡意下載鏈接條目,並於當天約18:00刪除插入的條目;
6)毀屍滅跡
12.15日17:12分:攻擊者再次登錄升級服務器,刪除了各類操作記錄,同時還原了ServerConfig.xml文件。
事件分析
該次攻擊明顯是一次精心準備的針對驅動人生公司的APT攻擊活動,攻擊者在進行攻擊前掌握了該公司大量內部信息,包括驅動人生公司內部人員的姓名、職位信息;跳板機的帳號密碼(未知渠道洩漏);升級服務器配置策略;甚至包括公司的團建計劃等。
攻擊者在內網潛伏長達1個月後,在驅動人生公司相關技術人員出國團建時,發起攻擊行動:修改配置文件,下發木馬程序。
從此次事件中,也反映出了企業長期存在的一些安全問題和誤區,分別體現在如下幾個方面:
1、運維安全不可忽視
此次事件中,暴漏出企業運維的兩大安全問題:弱口令和密碼複用。
據透露,此次攻擊事件中,早在事發一個月前的11.13日,升級服務器被內網機器(192.168.xx.208)嘗試過SMB爆破,但並未直接成功。其中值得關注的是,192.168.xx.208在嘗試SMB爆破時,使用了4位驅動人生公司員工姓名拼音作為用戶名嘗試,包括一位已離職約半年的員工,這些員工崗位均為後臺開發,運維。而爆破過程中,從爆破開始到結束,爆破時間極短且爆破次數極少(20+次),因此安全機構猜測,爆破的密碼字典非常有限,反映出攻擊者已熟知這些員工信息。從中暴漏出運維人員使用自身姓名相關拼音作為口令的弱口令問題,導致攻擊者在進行爆破時具有極高的針對性。
同時,在此次事件中,被攻擊者攻破的跳板機與192.168.xx.208,192.168.xx.155等機器的管理員密碼相同,也就是說,如果有人掌握了該公司跳板機管理員密碼,理論上是可以通過跳板機控制到內網多臺其它機器,嚴重暴漏了密碼複用問題,導致安全認證形同虛設。
2、“重邊界,輕內在”的安全建設誤區
這是目前很多企業存在的一個安全建設誤區,認為只要自己防火牆、IPS、Waf等邊界安全建設足夠完善,就不會給攻擊者可乘之機,對內網安全建設缺乏意識。導致當這些依賴於規則或已知策略的邊界安全產品被繞過或失效時,攻擊者進入內網後,面對的是一覽無餘、一馬平川的攻擊利好局面。
3、內網橫向移動行為不可忽視
這其實也是很多企業存在的一個誤區,認為現在的高級攻擊者非常聰明,不會進行所謂的橫向移動,而是在進行入侵之前就規劃好內網拓撲,直搗黃龍,所以無需對內網橫向移動進行過多審計。而實際上,即使是這次這樣的APT攻擊,也會存在小範圍的橫向移動和探測。由於目前各企業內網之複雜程度,再高明的黑客也不可能對所有內網細節瞭如指掌,他能瞭解的更多是其目標所在的網段範圍,之後根據這個範圍進行小範圍探測和移動,而這種移動能否被企業感知,就成了防範此類攻擊潛伏並爆發的關鍵了。
4、威脅情報安全前置不足
說到網絡攻擊,任何形式的網絡攻擊都是需要一個過程的,攻擊者一般需要通過前期信息收集、脆弱性分析、探測,最終實施攻擊流程。而上述的這些洩露數據的企業往往是到攻擊者實施攻擊時甚至是之後才會感知到相關威脅,最終造成相關損失。換句話說,如果能夠將攻擊者意圖提前感知,通過在其早期信息蒐集、脆弱性探測過程中獲取相關黑客情報,提前做好相關防範,便可以大幅降低相關安全和損失風險,這便是威脅情報的理念。然而實際上,目前很多威脅情報的獲取方式不夠前置,甚至是基於內網數據獲取威脅情報,往往意味著攻擊者早已完成前期信息收集、脆弱性分析和探測,並正在實施內網攻擊流程。此時爆發威脅情報,已與進行應急響應無異,並未做到威脅情報應有的安全前置。
5、攻擊者溯源困難
在此次事件中,溯源到的攻擊者ip均來自於境外,意味著攻擊者採用了跳板或者肉雞進行的攻擊行為,未留下真實個人相關信息,從中其實也折射出了傳統攻擊溯源手段的痛點:難以獲取攻擊者真人信息,導致針對攻擊者的溯源往往無疾而終。
安全建議
基於上述事件及其分析,針對企業安全建設,可以提出以下幾項針對性建議:
1、常態化安全運營建設
常態化安全運營,不僅包括針對弱口令、配置基線等運維安全問題,還應對線上下線各類主機資產甚至線上Web服務資產進行全量常態化安全管理。並通過統一的流程化規章制度、有效的落地工具實現上述常態化安全運營的7*24小時自動化巡檢維護,實現安全可視可控。
2、內網攻擊感知、溯源建設
在安全建設上,企業不能再沉迷於“固若金湯”的邊界假象,需要在構建邊界安全範圍內可靠的情況下多多關注內網安全建設。針對已經進入內網的攻擊者或病毒,要化被動為主動,具有基於欺騙防禦的主動誘捕方式,實現對內網入侵、橫向移動、探測的高靈敏度感知,並在此基礎上實現對攻擊者溯源能力的加強。
3、威脅情報前置建設
為了使攻擊者的覬覦意圖儘早被發現,威脅情報建設需要更加前置,不再依賴於內網數據進行威脅情報,儘可能將威脅情報獲取時間點提前到攻擊者在外網進行信息收集、對外業務探測階段,並儘可能將威脅情報採集與真實業務相關聯,獲取更為有效的一手情報。
4、基於行為的威脅檢測能力建設
有別於傳統邊界安全手段基於已有策略或規則,企業在安全建設過程中可以多多考慮引入基於行為的威脅檢測手段。此類手段的好處在於其不依賴已有規則,而是基於機器學習和行為模型對各類已知未知攻擊行為都具有甄別能力。進行此類建設,將其應用於威脅檢測,可以獲得相較於傳統手段更加靈敏、豐富的安全保護。
閱讀更多 安全牛 的文章
