卡巴斯基2017年企業資訊系統的安全評估報告
引言
卡巴斯基實驗室的安全服務部門每年都會為全球的企業開展數十個網路安全評估專案。在本文中,我們提供了卡巴斯基實驗室2017年開展的企業資訊系統網路安全評估的總體概述和統計資料。
本文的主要目的是為現代企業資訊系統的漏洞和攻擊向量領域的IT安全專家提供資訊支援。
我們已經為多個行業的企業開展了數十個專案,包括政府機構、金融機構、電信和IT公司以及製造業和能源業公司。下圖顯示了這些企業的行業和地區分佈情況。
目標企業的行業和地區分佈情況
漏洞的概括和統計資訊是根據我們提供的每種服務分別總結的:
外部滲透測試 是指標對只能訪問公開資訊的外部網際網路入侵者的企業網路安全狀況評估
內部滲透測試 是指標對位於企業網路內部的具有物理訪問許可權但沒有特權的攻擊者進行的企業網路安全狀況評估。
Web 應用安全評估 是指標對Web應用的設計、開發或運營過程中出現的錯誤導致的漏洞(安全漏洞)的評估。
本出版物包含卡巴斯基實驗室專家檢測到的最常見漏洞和安全缺陷的統計資料,未經授權的攻擊者可能利用這些漏洞滲透公司的基礎設施。
針對外部入侵者的安全評估
我們將企業的安全等級劃分為以下評級:
非常低
低
中等偏下
中
中等偏上
高
我們通過卡巴斯基實驗室的自有方法進行總體的安全等級評估,該方法考慮了測試期間獲得的訪問級別、資訊資源的優先順序、獲取訪問許可權的難度以及花費的時間等因素。
安全級別為非常低對應於我們能夠穿透內網的邊界並訪問內閘道器鍵資源的情況(例如,獲得內網的最高許可權,獲得關鍵業務系統的完全控制權限以及獲得關鍵的資訊)。此外,獲得這種訪問許可權不需要特殊的技能或大量的時間。
安全級別為高對應於在客戶的網路邊界只能發現無關緊要的漏洞(不會對公司帶來風險)的情況。
目標企業的經濟成分分佈
目標企業的安全等級分佈
根據測試期間獲得的訪問級別來劃分目標企業
用於穿透網路邊界的攻擊向量
大多數攻擊向量成功的原因在於不充分的內網過濾、管理介面可公開訪問、弱密碼以及Web應用中的漏洞等。
儘管86%的目標企業使用了過時、易受攻擊的軟體,但只有10%的攻擊向量利用了軟體中的未經修復的漏洞來穿透內網邊界(28%的目標企業)。這是因為對這些漏洞的利用可能導致拒絕服務。由於滲透測試的特殊性(保護客戶的資源可執行是一個優先事項),這對於模擬攻擊造成了一些限制。然而,現實中的犯罪分子在發起攻擊時可能就不會考慮這麼多了。
建議:
除了進行更新管理外,還要更加註重配置網路過濾規則、實施密碼保護措施以及修復Web應用中的漏洞。
利用 Web 應用中的漏洞發起的攻擊
我們的2017年滲透測試結果明確表明,對Web應用安全性的關注仍然不夠。Web應用漏洞在73%的攻擊向量中被用於獲取網路外圍主機的訪問許可權。
在滲透測試期間,任意檔案上傳漏洞是用於穿透網路邊界的最廣泛的Web應用漏洞。該漏洞可被用於上傳命令列直譯器並獲得對作業系統的訪問許可權。SQL%E6%B3%A8%E5%85%A5/">SQL注入、任意檔案讀取、XML外部實體漏洞主要用於獲取使用者的敏感資訊,例如密碼及其雜湊。賬戶密碼被用於通過可公開訪問的管理介面來發起的攻擊。
建議:
應定期對所有的公開Web應用進行安全評估;應實施漏洞管理流程;在更改應用程式程式碼或Web伺服器配置後,必須檢查應用程式;必須及時更新第三方元件和庫。
用於穿透網路邊界的Web應用漏洞
利用Web應用漏洞和可公開訪問的管理介面獲取內網訪問許可權的示例
第一步
利用 SQL注入漏洞 繞過Web應用的身份驗證
第二步
利用 敏感資訊洩露漏洞 獲取Web應用中的使用者密碼雜湊
第三步
離線密碼猜測攻擊。可能利用的漏洞: 弱密碼
第四步
利用獲取的憑據,通過 XML外部實體漏洞 (針對授權使用者)讀取檔案
第五步
針對獲取到的使用者名稱發起線上密碼猜測攻擊。可能利用的漏洞: 弱密碼,可公開訪問的遠端管理介面
第六步
在系統中新增su命令的別名,以記錄輸入的密碼。該命令要求使用者輸入特權賬戶的密碼。這樣,管理員在輸入密碼時就會被截獲。
第七步
獲取企業內網的訪問許可權。可能利用的漏洞: 不安全的網路拓撲
利用管理介面發起的攻擊
雖然“對管理介面的網路訪問不受限制”不是一個漏洞,而是一個配置上的失誤,但在2017年的滲透測試中它被一半的攻擊向量所利用。57%的目標企業可以通過管理介面獲取對資訊資源的訪問許可權。
通過管理介面獲取訪問許可權通常利用了以下方式獲得的密碼:
利用目標主機的其它漏洞(27.5%)。 例如,攻擊者可利用Web應用中的任意檔案讀取漏洞從Web應用的配置檔案中獲取明文密碼。
使用Web應用、CMS系統、網路裝置等的預設憑據(27.5%)。 攻擊者可以在相應的文件中找到所需的預設賬戶憑據。
發起線上密碼猜測攻擊(18%)。 當沒有針對此類攻擊的防護措施/工具時,攻擊者通過猜測來獲得密碼的機會將大大增加。
從其它受感染的主機獲取的憑據(18%)。 在多個系統上使用相同的密碼擴大了潛在的攻擊面。
在利用管理介面獲取訪問許可權時利用過時軟體中的已知漏洞是最不常見的情況。
利用管理介面獲取訪問許可權
通過何種方式獲取管理介面的訪問許可權
管理介面型別
建議:
定期檢查所有系統,包括Web應用、內容管理系統(CMS)和網路裝置,以檢視是否使用了任何預設憑據。為管理員帳戶設定強密碼。在不同的系統中使用不同的帳戶。將軟體升級至最新版本。
大多數情況下,企業往往忘記禁用Web遠端管理介面和SSH服務的網路訪問。大多數Web管理介面是Web應用或CMS的管理控制面板。訪問這些管理控制面板通常不僅可以獲得對Web應用的完整控制權,還可以獲得作業系統的訪問權。獲得對Web應用管理控制面板的訪問許可權後,可以通過任意檔案上傳功能或編輯Web應用的頁面來獲取執行作業系統命令的許可權。在某些情況下,命令列解釋程式是Web應用管理控制面板中的內建功能。
建議:
嚴格限制對所有管理介面(包括Web介面)的網路訪問。只允許從有限數量的IP地址進行訪問。在遠端訪問時使用VPN。
利用管理介面發起攻擊的示例
| 第一步 | 檢測到一個只讀許可權的預設社群字串的SNMP服務 |
|---|---|
| 第二步 |
通過SNMP協議檢測到一個過時的、易受攻擊的思科IOS版本。漏洞:cisco-sa-20170629-snmp( ofollow,noindex" target="_blank">https://tools.cisco. com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp)。 該漏洞允許攻擊者通過只讀的SNMP社群字串進行提權,獲取裝置的完全訪問許可權。利用思科釋出的公開漏洞資訊,卡巴斯基專家Artem Kondratenko開發了一個用來演示攻擊的漏洞利用程式( https://github.com/artkond/cisco-snmp-rce )。 |
| 第三步 | 利用ADSL-LINE-MIB中的一個漏洞以及路由器的完全訪問許可權,我們可以獲得客戶的內網資源的訪問許可權。完整的技術細節請參考 https://kas.pr/3whh |
最常見漏洞和安全缺陷的統計資訊
最常見的漏洞和安全缺陷
針對內部入侵者的安全評估
我們將企業的安全等級劃分為以下評級:
非常低
低
中等偏下
中
中等偏上
高
我們通過卡巴斯基實驗室的自有方法進行總體的安全等級評估,該方法考慮了測試期間獲得的訪問級別、資訊資源的優先順序、獲取訪問許可權的難度以及花費的時間等因素。安全級別為非常低對應於我們能夠獲得客戶內網的完全控制權的情況(例如,獲得內網的最高許可權,獲得關鍵業務系統的完全控制權限以及獲取關鍵的資訊)。此外,獲得這種訪問許可權不需要特殊的技能或大量的時間。
安全級別為高對應於在滲透測試中只能發現無關緊要的漏洞(不會對公司帶來風險)的情況。
在存在域基礎設施的所有專案中,有86%可以獲得活動目錄域的最高許可權(例如域管理員或企業管理員許可權)。在64%的企業中,可以獲得最高許可權的攻擊向量超過了一個。在每一個專案中,平均有2-3個可以獲得最高許可權的攻擊向量。這裡只統計了在內部滲透測試期間實踐過的那些攻擊向量。對於大多數專案,我們還通過 bloodhound 等專有工具發現了大量其它的潛在攻擊向量。
這些我們實踐過的攻擊向量在複雜性和實踐步驟數(從2步到6步)方面各不相同。平均而言,在每個企業中獲取域管理員許可權需要3個步驟。
獲取域管理員許可權的最簡單攻擊向量的示例:
攻擊者通過NBNS欺騙攻擊和NTLM中繼攻擊攔截管理員的NetNTLM雜湊,並利用該雜湊在域控制器上進行身份驗證;
利用HP Data Protector中的漏洞CVE-2011-0923,然後從lsass.exe程序的記憶體中提取域管理員的密碼
獲取域管理員許可權的最小步驟數
下圖描述了利用以下漏洞獲取域管理員許可權的更復雜攻擊向量的一個示例:
使用包含已知漏洞的過時版本的網路裝置韌體
使用弱密碼
在多個系統和使用者中重複使用密碼
使用NBNS協議
SPN賬戶的許可權過多
獲取域管理員許可權的示例
第一步
利用D-Link網路儲存的Web服務中的漏洞。該漏洞允許以超級使用者的許可權執行任意程式碼。建立SSH隧道以訪問管理網路(直接訪問受到防火牆規則的限制)。
漏洞: 過時的軟體(D-link)
第二步
檢測到思科交換機和一個可用的SNMP服務以及預設的社群字串“Public”。思科IOS的版本是通過SNMP協議識別的。
漏洞: 預設的SNMP社群字串
第三步
利用思科IOS的版本資訊來發現漏洞。利用漏洞CVE-2017-3881獲取具有最高許可權的命令直譯器的訪問權。
漏洞: 過時的軟體(思科)
第四步
提取本地使用者的雜湊密碼
第五步
離線密碼猜測攻擊。
漏洞: 特權使用者弱密碼
第六步
NBNS欺騙攻擊。攔截NetNTLMv2雜湊。
漏洞: 使用NBNS協議
第七步
對NetNTLMv2雜湊進行離線密碼猜測攻擊。
漏洞: 弱密碼
第八步
使用域帳戶執行Kerberoasting攻擊。獲得SPN帳戶的TGS票證
第九步
從思科交換機獲取的本地使用者帳戶的密碼與SPN帳戶的密碼相同。
漏洞: 密碼重用,賬戶許可權過多
關於漏洞CVE-2017-3881(思科IOS中的遠端程式碼執行漏洞)
在CIA檔案Vault 7:CIA中發現了對此漏洞的引用,該文件於2017年3月在維基解密上釋出。該漏洞的代號為ROCEM,文件中幾乎沒有對其技術細節的描述。之後,該漏洞被分配編號 CVE-2017-3881 和cisco-sa-20170317-cmp。
該漏洞允許未經授權的攻擊者通過Telnet協議以最高許可權在思科IOS中執行任意程式碼。在CIA文件中只描述了與開發漏洞利用程式所需的測試過程相關的一些細節; 但沒有提供實際漏洞利用的原始碼。儘管如此,卡巴斯基實驗室的專家Artem Kondratenko利用現有的資訊進行實驗研究重現了這一高危漏洞的利用程式碼。
關於此漏洞利用的開發過程的更多資訊,請訪問 https://kas.pr/fk8g , https://kas.pr/amv7 。
最常用的攻擊技術
通過分析用於在活動目錄域中獲取最高許可權的攻擊技術,我們發現:
用於在活動目錄域中獲取最高許可權的不同攻擊技術在目標企業中的佔比
NBNS/LLMNR 欺騙攻擊
我們發現87%的目標企業使用了NBNS和LLMNR協議。67%的目標企業可通過NBNS/LLMNR欺騙攻擊獲取活動目錄域的最大許可權。該攻擊可攔截使用者的資料,包括使用者的NetNTLMv2雜湊,並利用此雜湊發起密碼猜測攻擊。
安全建議:
建議禁用NBNS和LLMNR協議
檢測建議:
一種可能的解決方案是通過蜜罐以不存在的計算機名稱來廣播NBNS/LLMNR請求,如果收到了響應,則證明網路中存在攻擊者。示例: https://blog.netspi.com/identifying-rogue-nbns-spoofers/,https://github.com/Kevin-Robertson/Conveigh 。
如果可以訪問整個網路流量的備份,則應該監測那些發出多個LLMNR/NBNS響應(針對不同的計算機名稱發出響應)的單個IP地址。
NTLM中繼攻擊
在NBNS/LLMNR 欺騙攻擊成功的情況下,一半的被截獲的NetNTLMv2雜湊被用於進行NTLM中繼攻擊。如果在NBNS/LLMNR 欺騙攻擊期間攔截了域管理員帳戶的NetNTLMv2雜湊,則可通過NTLM中繼攻擊快速獲得活動目錄的最高許可權。
42%的目標企業可利用NTLM中繼攻擊(結合NBNS/LLMNR欺騙攻擊)獲取活動目錄域的最高許可權。47%的目標企業無法抵禦此類攻擊。
安全建議:
防護該攻擊的最有效方法是阻止通過NTLM協議的身份驗證。但該方法的缺點是難以實現。
身份驗證擴充套件協議(EPA)可用於防止NTLM中繼攻擊。
另一種保護機制是在組策略設定中啟用SMB協議簽名。請注意,此方法僅可防止針對SMB協議的NTLM中繼攻擊。
檢測建議:
此類攻擊的典型蹤跡是網路登入事件(事件ID4624,登入型別為3),其中“源網路地址”欄位中的IP地址與源主機名稱“工作站名稱”不匹配。這種情況下,需要一個主機名與IP地址的對映表(可以使用DNS整合)。
或者,可以通過監測來自非典型IP地址的網路登入來識別這種攻擊。對於每一個網路主機,應收集最常執行系統登入的IP地址的統計資訊。來自非典型IP地址的網路登入可能意味著攻擊行為。這種方法的缺點是會產生大量誤報。
利用過時軟體中的已知漏洞
過時軟體中的已知漏洞佔我們實施的攻擊向量的三分之一。
大多數被利用的漏洞都是2017年發現的:
思科IOS中的遠端程式碼執行漏洞(CVE-2017-3881)
VMware vCenter中的遠端程式碼執行漏洞(CVE-2017-5638)
Samba中的遠端程式碼執行漏洞(CVE-2017-7494 – Samba Cry)
Windows SMB中的遠端程式碼執行漏洞(MS17-010)
大多數漏洞的利用程式碼已公開(例如MS17-010、Samba Cry、VMwarevCenter CVE-2017-5638),使得利用這些漏洞變得更加容易
常見的內部網路攻擊是利用Java RMI網路服務中的遠端程式碼執行漏洞和Apache Common Collections(ACC)庫(這些庫被應用於多種產品,例如思科區域網管理解決方案)中的Java反序列化漏洞實施的。反序列化攻擊對許多大型企業的軟體都有效,可以在企業基礎設施的關鍵伺服器上快速獲取最高許可權。
Windows中的最新漏洞已被用於遠端程式碼執行(MS17-010 永恆之藍)和系統中的本地許可權提升(MS16-075 爛土豆)。在相關漏洞資訊被公開後,全部企業的60%以及接受滲透測試的企業的75%都存在MS17-010漏洞。應當指出的是,該漏洞不僅在2017年第一季度末和第二季度在這些企業中被發現(此時檢測到該漏洞並不令人驚訝,因為漏洞補丁剛剛釋出),而且在2017年第四季度在這些企業中被檢測到。這意味著更新/漏洞管理措施並沒有起到作用,並且存在被WannaCry等惡意軟體感染的風險。
安全建議:
監控軟體中被公開披露的新漏洞。及時更新軟體。使用包含IDS/IPS模組的終端保護解決方案。
檢測建議:
以下事件可能意味著軟體漏洞利用的攻擊嘗試,需要進行重點監測:
觸發終端保護解決方案中的IDS/IPS模組;
伺服器應用程序大量生成非典型程序(例如Apache伺服器啟動bash程序或MS SQL啟動PowerShell程序)。為了監測這種事件,應該從終端節點收集程序啟動事件,這些事件應當包含被啟動程序及其父程序的資訊。這些事件可從以下軟體收集得到:收費軟體EDR解決方案、免費軟體Sysmon或Windows10/Windows 2016中的標準日誌審計功能。從Windows 10/Windows 2016開始,4688事件(建立新程序)包含了父程序的相關資訊。
客戶端和伺服器軟體的不正常關閉是典型的漏洞利用指標。請注意這種方法的缺點是會產生大量誤報。
線上密碼猜測攻擊
線上密碼猜測攻擊最常被用於獲得Windows使用者帳戶和Web應用管理員帳戶的訪問許可權。
密碼策略允許使用者選擇可預測且易於猜測的密碼。此類密碼包括:p@SSword1,<公司名稱> 123等。
使用預設密碼和密碼重用有助於成功地對管理介面進行密碼猜測攻擊。
安全建議:
為所有使用者帳戶實施嚴格的密碼策略(包括使用者帳戶、服務帳戶、Web應用和網路裝置的管理員帳戶等)。
提高使用者的密碼保護意識:選擇複雜的密碼,為不同的系統和帳戶使用不同的密碼。
對包括Web應用、CMS和網路裝置在內的所有系統進行審計,以檢查是否使用了任何預設帳戶。
檢測建議:
要檢測針對Windows帳戶的密碼猜測攻擊,應注意:
終端主機上的大量4625事件(暴力破解本地和域帳戶時會發生此類事件)
域控制器上的大量4771事件(通過Kerberos攻擊暴力破解域帳戶時會發生此類事件)
域控制器上的大量4776事件(通過NTLM攻擊暴力破解域帳戶時會發生此類事件)
離線密碼猜測攻擊
離線密碼猜測攻擊常被用於:
破解從SAM檔案中提取的NTLM雜湊
破解通過NBNS/LLMNR欺騙攻擊攔截的NetNTLMv2雜湊
Kerberoasting攻擊(見下文)
破解從其它系統上獲取的雜湊
Kerberoasting 攻擊
Kerberoasting攻擊是針對SPN(服務主體名稱)帳戶密碼的離線暴力破解攻擊,其Kerberos TGS服務票證是加密的。要發起此類攻擊,只需要有域使用者的許可權。如果SPN帳戶具有域管理員許可權並且其密碼被成功破解,則攻擊者獲得了活動目錄域的最高許可權。在20%的目標企業中,SPN帳戶存在弱密碼。在13%的企業中(或在17%的獲得域管理員許可權的企業中),可通過Kerberoasting攻擊獲得域管理員的許可權。
安全建議:
為SPN帳戶設定複雜密碼(不少於20個字元)。
遵循服務帳戶的最小許可權原則。
檢測建議:
監測通過RC4加密的TGS服務票證的請求(Windows安全日誌的記錄是事件4769,型別為0×17)。短期內大量的針對不同SPN的TGS票證請求是攻擊正在發生的指標。
卡巴斯基實驗室的專家還利用了Windows網路的許多特性來進行橫向移動和發起進一步的攻擊。這些特性本身不是漏洞,但卻創造了很多機會。最常使用的特性包括:從lsass.exe程序的記憶體中提取使用者的雜湊密碼、實施hash傳遞攻擊以及從SAM資料庫中提取雜湊值。
使用此技術的攻擊向量的佔比
從 lsass.exe 程序的記憶體中提取憑據
由於Windows系統中單點登入(SSO)的實現較弱,因此可以獲得使用者的密碼:某些子系統使用可逆編碼將密碼儲存在作業系統記憶體中。因此,作業系統的特權使用者能夠訪問所有登入使用者的憑據。
安全建議:
在所有系統中遵循最小許可權原則。此外,建議儘可能避免在域環境中重複使用本地管理員帳戶。針對特權賬戶遵循微軟層級模型以降低入侵風險。
使用Credential Guard機制(該安全機制存在於Windows 10/Windows Server 2016中)
使用身份驗證策略(Authentication Policies)和Authentication Policy Silos
禁用網路登入(本地管理員帳戶或者本地管理員組的賬戶和成員)。(本地管理員組存在於Windows 8.1/ Windows Server2012R2以及安裝了KB2871997更新的Windows 7/Windows 8/Windows Server2008R2中)
使用“ 受限管理模式RDP ”而不是普通的RDP。應該注意的是,該措施可以減少明文密碼洩露的風險,但增加了通過雜湊值建立未授權RDP連線(Hash傳遞攻擊)的風險。只有在採取了綜合防護措施以及能夠阻止Hash傳遞攻擊時,才推薦採用此方法。
將 特權賬戶 置於 受保護的使用者組 ,該組中的成員只能通過Kerberos協議登入。(Microsoft網站上提供了該組的所有保護機制的列表)
啟用LSA保護,以阻止通過未受保護的程序來讀取記憶體和進行程式碼注入。這為LSA儲存和管理的憑據提供了額外的安全防護。
禁用 記憶體中的 WDigest儲存 或者完全禁用 WDigest 身份驗證機制(適用於Windows8.1 / Windows Server 2012 R2或安裝了KB2871997更新的Windows7/Windows Server 2008系統)。
在域策略配置中禁用 SeDebugPrivilege 許可權
禁用 自動重新登入(ARSO) 功能
使用特權帳戶進行遠端訪問(包括通過RDP)時,請確保每次終止會話時都登出。
在GPO中配置RDP會話終止:計算機配置\策略\管理模板\ Windows元件\遠端桌面服務\遠端桌面會話主機\會話時間限制。
啟用 SACL 以對嘗試訪問lsass.exe的程序進行登記管理
使用防病毒軟體。
此措施列表不能保證完全的安全。但是,它可被用於檢測網路攻擊以及降低攻擊成功的風險(包括自動執行的惡意軟體攻擊,如NotPetya/ExPetr)。
檢測建議:
檢測從lsass.exe程序的記憶體中提取密碼攻擊的方法根據攻擊者使用的技術而有很大差異,這些內容不在本出版物的討論範圍之內。更多資訊請訪問 https://kas.pr/16a7 。
我們還建議您特別注意使用PowerShell(Invoke-Mimikatz)憑據提取攻擊的檢測方法。
Hash 傳遞攻擊
在此類攻擊中,從SAM儲存或lsass.exe程序記憶體中獲取的NTLM雜湊被用於在遠端資源上進行身份驗證(而不是使用帳戶密碼)。
這種攻擊成功地在25%的攻擊向量中應用,影響了28%的目標企業。
安全建議:
防止此類攻擊的最有效方法是禁止在網路中使用NTLM協議。
使用LAPS(本地管理員密碼解決方案)來管理本地管理員密碼。
禁用網路登入(本地管理員帳戶或者本地管理員組的賬戶和成員)。(本地管理員組存在於Windows 8.1/ Windows Server2012R2以及安裝了KB2871997更新的Windows 7/Windows 8/Windows Server2008R2中)
在所有系統中遵循最小許可權原則。針對特權賬戶遵循微軟層級模型以降低入侵風險。
檢測建議:
在對特權賬戶的使用具有嚴格限制的分段網路中,可以最有效地檢測此類攻擊。
建議製作可能遭到攻擊的賬戶的列表。該列表不僅應包括高許可權帳戶,還應包括可用於訪問組織關鍵資源的所有帳戶。
在開發雜湊傳遞攻擊的檢測策略時,請注意與以下相關的非典型網路登入事件:
源IP地址和目標資源的IP地址
登入時間(工作時間、假期)
此外,還要注意與以下相關的非典型事件:
帳戶(建立帳戶、更改帳戶設定或嘗試使用禁用的身份驗證方法);
同時使用多個帳戶(嘗試從同一臺計算機登入到不同的帳戶,使用不同的帳戶進行VPN連線以及訪問資源)。
雜湊傳遞攻擊中使用的許多工具都會隨機生成工作站名稱。這可以通過工作站名稱是隨機字元組合的4624事件來檢測。
從 SAM中提取本地使用者憑據
從Windows SAM儲存中提取的本地帳戶NTLM雜湊值可用於離線密碼猜測攻擊或雜湊傳遞攻擊。
檢測建議:
檢測從SAM提取登入憑據的攻擊取決於攻擊者使用的方法:直接訪問邏輯卷、Shadow Copy、reg.exe,遠端登錄檔等。
有關檢測憑據提取攻擊的詳細資訊,請訪問 https://kas.pr/16a7 。
最常見漏洞和安全缺陷的統計資訊
最常見的漏洞和安全缺陷
在所有的目標企業中,都發現網路流量過濾措施不足的問題。管理介面(SSH、Telnet、SNMP以及Web應用的管理介面)和DBMS訪問介面都可以通過使用者段進行訪問。在不同帳戶中使用弱密碼和密碼重用使得密碼猜測攻擊變得更加容易。
當一個應用程式賬戶在作業系統中具有過多的許可權時,利用該應用程式中的漏洞可能在主機上獲得最高許可權,這使得後續攻擊變得更加容易。
Web應用安全評估
以下統計資料包括全球範圍內的企業安全評估結果。所有Web應用中有52%與電子商務有關。
根據2017年的分析,政府機構的Web應用是最脆弱的,在所有的Web應用中都發現了高風險的漏洞。在商業Web應用中,高風險漏洞的比例最低,為26%。“其它”類別僅包含一個Web應用,因此在計算經濟成分分佈的統計資料時沒有考慮此類別。
Web應用的經濟成分分佈
Web 應用的風險級別分佈
對於每一個Web應用,其整體風險級別是基於檢測到的漏洞的最大風險級別而設定的。電子商務行業中的Web應用最為安全:只有28%的Web應用被發現存在高風險的漏洞,而36%的Web應用最多存在中等風險的漏洞。
高風險Web應用的比例
如果我們檢視每個Web應用的平均漏洞數量,那麼經濟成分的排名保持不變:政府機構的Web應用中的平均漏洞數量最高;金融行業其次,最後是電子商務行業。
每個Web應用的平均漏洞數
2017年,被發現次數最多的高風險漏洞是:
敏感資料暴露漏洞(根據OWASP分類標準) ,包括Web應用的原始碼暴露、配置檔案暴露以及日誌檔案暴露等。
未經驗證的重定向和轉發(根據OWASP分類標準) 。此類漏洞的風險級別通常為中等,並常被用於進行網路釣魚攻擊或分發惡意軟體。2017年,卡巴斯基實驗室專家遇到了該漏洞型別的一個更加危險的版本。這個漏洞存在於Java應用中,允許攻擊者實施路徑遍歷攻擊並讀取伺服器上的各種檔案。尤其是,攻擊者可以以明文形式訪問有關使用者及其密碼的詳細資訊。
使用字典中的憑據(該漏洞在OWASP分類標準的身份驗證破壞類別下) 。該漏洞常在線上密碼猜測攻擊、離線密碼猜測攻擊(已知雜湊值)以及對Web應用的原始碼進行分析的過程中發現。
在 所有經濟成分的Web應用 中,都發現了 敏感資料暴露漏洞 (內部IP地址和資料庫訪問埠、密碼、系統備份等)和 使用字典中的憑據漏洞 。
敏感資料暴露
未經驗證的重定向和轉發
使用字典中的憑據
漏洞分析
2017年,我們發現的高風險、中等風險和低風險漏洞的數量大致相同。但是,如果檢視Web應用的整體風險級別,我們會發現超過一半(56%)的Web應用包含高風險漏洞。對於每一個Web應用,其整體風險級別是基於檢測到的漏洞的最大風險級別而設定的。
超過一半的漏洞都是由Web應用原始碼中的錯誤引起的。其中最常見的漏洞是跨站指令碼漏洞(XSS)。44%的漏洞是由配置錯誤引起的。配置錯誤導致的最多的漏洞是敏感資料暴露漏洞。
對漏洞的分析表明,大多數漏洞都與Web應用的伺服器端有關。其中,最常見的漏洞是敏感資料暴露、SQL注入和功能級訪問控制缺失。28%的漏洞與客戶端有關,其中一半以上是跨站指令碼漏洞(XSS)。
漏洞風險級別的分佈
Web應用風險級別的分佈
不同型別漏洞的比例
伺服器端和客戶端漏洞的比例
漏洞總數統計
本節提供了漏洞的總體統計資訊。應該注意的是,在某些Web應用中發現了相同型別的多個漏洞。
10種最常見的漏洞型別
20%的漏洞是 跨站指令碼 型別的漏洞。攻擊者可以利用此漏洞獲取使用者的身份驗證資料(cookie)、實施釣魚攻擊或分發惡意軟體。
敏感資料暴露 -一種高風險漏洞,是第二大常見漏洞。它允許攻擊者通過除錯指令碼、日誌檔案等訪問Web應用的敏感資料或使用者資訊。
SQL 注入 – 第三大常見的漏洞型別。它涉及到將使用者的輸入資料注入SQL語句。如果資料驗證不充分,攻擊者可能會更改傳送到SQL Server的請求的邏輯,從而從Web伺服器獲取任意資料(以Web應用的許可權)。
很多Web應用中存在 功能級訪問控制缺失 漏洞。它意味著使用者可以訪問其角色不被允許訪問的應用程式指令碼和檔案。例如,一個Web應用中如果未授權的使用者可以訪問其監控頁面,則可能會導致會話劫持、敏感資訊暴露或服務故障等問題。
其它型別的漏洞都差不多,幾乎每一種都佔4%:
使用者使用字典中的憑據 。通過密碼猜測攻擊,攻擊者可以訪問易受攻擊的系統。
未經驗證的重定向和轉發 (未經驗證的轉發)允許遠端攻擊者將使用者重定向到任意網站併發起網路釣魚攻擊或分發惡意軟體。在某些案例中,此漏洞還可用於訪問敏感資訊。
遠端程式碼執行 允許攻擊者在目標系統或目標程序中執行任何命令。這通常涉及到獲得對Web應用原始碼、配置、資料庫的完全訪問許可權以及進一步攻擊網路的機會。
如果沒有針對 密碼猜測攻擊 的可靠保護措施,並且使用者使用了字典中的使用者名稱和密碼,則攻擊者可以獲得目標使用者的許可權來訪問系統。
許多Web應用使用 HTTP協議 傳輸資料。在成功實施中間人攻擊後,攻擊者將可以訪問敏感資料。尤其是,如果攔截到管理員的憑據,則攻擊者將可以完全控制相關主機。
檔案系統中的 完整路徑洩露 漏洞(Web目錄或系統的其他物件)使其他型別的攻擊更加容易,例如,任意檔案上傳、本地檔案包含以及任意檔案讀取。
Web 應用統計
本節提供有關Web應用中漏洞出現頻率的資訊(下圖表示了每種特定型別漏洞的Web應用的比例)。
最常見漏洞的Web應用比例
改進Web應用安全性的建議
建議採取以下措施來降低與上述漏洞相關的風險:
檢查來自使用者的所有資料。
限制對管理介面、敏感資料和目錄的訪問。
遵循最小許可權原則,確保使用者擁有所需的最低許可權集。
必須對密碼最小長度、複雜性和密碼更改頻率強制進行要求。應該消除使用憑據字典組合的可能性。
應及時安裝軟體及其元件的更新。
使用入侵檢測工具。考慮使用WAF。確保所有預防性保護工具都已安裝並正常執行。
實施安全軟體開發生命週期(SSDL)。
定期檢查以評估IT基礎設施的網路安全性,包括Web應用的網路安全性。
結論
43%的目標企業對外部攻擊者的整體防護水平被評估為低或非常低:即使外部攻擊者沒有精湛的技能或只能訪問公開可用的資源,他們也能夠獲得對這些企業的重要資訊系統的訪問許可權。
利用Web應用中的漏洞(例如任意檔案上傳(28%)和SQL注入(17%)等)滲透網路邊界並獲取內網訪問許可權是最常見的攻擊向量(73%)。用於穿透網路邊界的另一個常見的攻擊向量是針對可公開訪問的管理介面的攻擊(弱密碼、預設憑據以及漏洞利用)。通過限制對管理介面(包括SSH、RDP、SNMP以及web管理介面等)的訪問,可以阻止約一半的攻擊向量。
93%的目標企業對內部攻擊者的防護水平被評估為低或非常低。此外,在64%的企業中發現了至少一個可以獲得IT基礎設施最高許可權(如活動目錄域中的企業管理許可權以及網路裝置和重要業務系統的完全控制權限)的攻擊向量。平均而言,在每個專案中發現了2到3個可以獲取最高許可權的攻擊向量。在每個企業中,平均只需要三個步驟即可獲取域管理員的許可權。
實施內網攻擊常用的兩種攻擊技術包括NBNS欺騙和NTLM中繼攻擊以及利用2017年發現的漏洞的攻擊,例如MS17-010 (Windows SMB)、CVE-2017-7494 (Samba)和CVE-2017-5638 (VMwarevCenter)。在永恆之藍漏洞公佈後,該漏洞(MS17-010)可在75%的目標企業的內網主機中檢測到(MS17-010被廣泛用於有針對性的攻擊以及自動傳播的惡意軟體,如WannaCry和NotPetya/ExPetr等)。在86%的目標企業的網路邊界以及80%的企業的內網中檢測到過時的軟體。
值得注意的是JavaRMI服務中的遠端程式碼執行及許多開箱即用產品使用的 Apache Commons Collections 和其它Java庫中的反序列化漏洞。2017年OWASP專案將不安全的反序列化漏洞包含進其10大web漏洞列表(OWASP TOP 10),並排在第八位(A8-不安全的反序列化)。這個問題非常普遍,相關漏洞數量之多以至於Oracle正在考慮在Java的新版本中放棄支援內建資料序列化/反序列化的可能性1。
獲取對網路裝置的訪問許可權有助於內網攻擊的成功。網路裝置中的以下漏洞常被利用:
cisco-sa-20170317-cmp或CVE-2017-3881(CiscoIOS) 。該漏洞允許未經授權的攻擊者通過Telnet協議以最大許可權訪問交換機。
cisco-sa-20170629-snmp(Cisco IOS) 。該漏洞允許攻擊者在知道SNMP社群字串值(通常是字典中的值)和只讀許可權的情況下通過SNMP協議以最大許可權訪問裝置。
思科智慧安裝功能 。該功能在Cisco交換機中預設啟用,不需要身份驗證。因此,未經授權的攻擊者可以獲取和替換交換機的配置檔案2。
2017年我們的Web應用安全評估表明,政府機構的Web應用最容易受到攻擊(所有Web應用都包含高風險的漏洞),而電子商務企業的Web應用最不容易受到攻擊(28%的Web應用包含高風險漏洞)。Web應用中最常出現以下型別的漏洞:敏感資料暴露(24%)、跨站指令碼(24%)、未經驗證的重定向和轉發(14%)、對密碼猜測攻擊的保護不足(14%)和使用字典中的憑據(13%)。
為了提高安全性,建議企業特別注重Web應用的安全性,及時更新易受攻擊的軟體,實施密碼保護措施和防火牆規則。建議對IT基礎架構(包括Web應用)定期進行安全評估。完全防止資訊資源洩露的任務在大型網路中變得極其困難,甚至在面臨0day攻擊時變得不可能。因此,確保儘早檢測到資訊保安事件非常重要。在攻擊的早期階段及時發現攻擊活動和快速響應有助於防止或減輕攻擊所造成的損害。對於已建立安全評估、漏洞管理和資訊保安事件檢測良好流程的成熟企業,可能需要考慮進行 Red Teaming (紅隊測試)型別的測試。此類測試有助於檢查基礎設施在面臨隱匿的技藝精湛的攻擊者時受到保護的情況,以及幫助訓練資訊保安團隊識別攻擊並在現實條件下進行響應。
參考來源
https://www.bleepingcomputer.com/news/security/oracle-plans-to-drop-java-serialization-support- the-source-of-most-security-bugs/
https://dsec.ru/presentations/cisco-smart-install/
*本文作者:vitaminsecurity,轉載請註明來自 FreeBuf.COM