當網路安全公司嘗試入侵自己時會怎樣?
安全公司自黑會發生什麼情況?
作為一家安全公司,我們花了大量時間指導客戶使用擊退網路罪犯的各種工具和技術。2018給沒做好安全的人好好上了一課。諮詢公司NordVPN的資料表明,2018年裡,超過10億人受到11家不同公司13起資料洩露的影響。2019年,情況不會有太大改觀,網路罪犯仍然逍遙法外,且對某些大型跨國企業虎視眈眈,就盼著一朝得手能夠捲走眾多使用者資料,儘管大企業的安全資源更豐富。
但也不是隻有Facebook或谷歌這樣的業界巨輪才是網路罪犯的目標,沒有哪家公司能逃過黑客及其手中鍵盤的青睞,即便是安全公司。
所以,我們一向有自黑的習慣,喜歡對自己發起安全攻擊。此類演習的目的是讓我們更好地瞭解自身系統在面對網路攻擊時的表現,以及,一旦真正面對惡意對手,我們的規程在阻止惡意侵犯上的效果如何。
最近的演習中,我們發現了自身防禦中的一個漏洞,其價值遠超我們承認作為安全提供商還存在漏洞的尷尬與不適。
來自滲透測試員的攻擊
我們SensePost紅隊最近的一次滲透測試,建立在攻擊者已經侵入邊界,並在內網某主機建立了“灘頭陣地”的假設上。“建立灘頭陣地”是我們SensePost團隊的一貫做法,其實就是執行橫向暴力攻擊,用從開源技術(比如LinkedIn)中收集的僱員資訊構建一張可信的活動目錄(AD)使用者ID列表。
下一步就是對整張使用者列表嘗試一系列常用口令爆破,直到匹配出現,獲取到某使用者賬戶的訪問權。利用該使用者的憑證,SensePost團隊就能入手所有活躍使用者列表。重複此一過程,最終獲得管理員使用者賬戶訪問權。利用WannaCry黑客事件中臭名昭著的Mimikatz工具,團隊抽取到了快取的域管理員憑證。
SensePost團隊一天之內就黑到了域管理員的賬戶。撬開通路的撬棍就是一張可靠的樣例口令表。
口令陷阱
你或許會認為暴力破解攻擊之所以能成功是因為使用者設的口令太“弱”了。
事實上,絕大多數口令都符合建議的安全憑證標準——字母數字混搭且長度在8-12個字元之間,還夾雜有標點符號和大寫字母。這些口令那麼容易被破的原因就在於它們使用了某些模式,無論多“強壯”,都是可預測的。
客戶環境的資料告訴我們,1/3(32%)的口令以大寫字母開頭,以數字結尾。1/8(12%)的口令含有年份,1/11(9%)以3個數字結尾。聽起來是不是有種熟悉感?你現在至少有一個賬戶用的口令就遵從上述模式之一吧?
口令越容易預測,網路罪犯就越容易構築模板口令用在高度針對性的暴力破解攻擊中。很明顯,安全公司自身也難以倖免。
遺留主機中的幽靈
防線上的裂縫可不止口令一個。我們的假想敵還會利用辦公室角落堆著落灰的老舊主機,利用它們身上未修復的遺留漏洞。雖然攻擊者不能從遺留系統中盜取有用資料——早就被淘汰、沒放什麼資料、沒接入環境,但這從來都不是攻擊者登入老舊系統的目的所在。他們的目的是以此為橋,跨域訪問。
竊取控制
我們假想中的黑客不止一次地耍弄我們,先是惱人的口令,然後是遺留系統。第三次衝擊來自通過微軟動態資料交換(DDE)入侵終端的受控實驗。
我們的黑客朋友以電子郵件發起下一階段的攻擊,郵件中附帶含有嵌入式DDE物件的Word附件。這能是他們訪問並觸發外部指令碼物件,彈出微軟Excel中常見的“公式結束”框,詢問使用者是否啟用編輯。點選“是”就會下載PowerShell,賦予我們的網路對手遠端命令與控制權。
我們的檢測技術能發現這種操作,因為DDE是不被允許的。一發現警報,我們就可以監視登錄檔修改情況——標誌著主機可能遭到入侵。我們還注意到該主機試圖與外部源通訊,用PowerShell與C2伺服器溝通。
不過,儘管測試發現了嚴重漏洞,我們的檢測平臺還是在各個階段識別出了攻擊指徵,我們能夠近實時地跟蹤滲透程序。這一點令人欣慰,也是檢測之所以是“深度防禦”策略重要部分的原因所在。
經驗教訓
需要著重強調的是,當今數字時代,公司企業不分行業、不分規模,都面臨網路攻擊或資料洩露的威脅,不是是否會發生,而是何時發生的問題。
持續的網路對抗中, 自我意識是關鍵 ——沒發現漏洞就沒發修補。儘管此類攻防演習會挫傷企業網路安全團隊的自尊,我們所做的這種實驗卻可以洞察攻擊者可能觸碰到你資料的途徑。措手不及要不得,你需要經常強化系統和技術以瞭解自身業務風險;也別怕模擬和預測假設危機會弄髒雙手,防患於未然好過亡羊補牢。
注:本文來自於SecureData首席安全策略官 Charl van der Walt 分享其滲透測試團隊的自黑經驗。