尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
但也不是只有Facebook或Google這樣的業界巨輪才是網路罪犯的目標,沒有哪家公司能逃過黑客及其手中鍵盤的青睞,即便是安全公司。
所以,我們一向有自黑的習慣,喜歡對自己發起安全攻擊。此類演習的目的是讓我們更好地了解自身系統在面對網路攻擊時的表現,以及,一旦真正面對惡意對手,我們的規程在阻止惡意侵犯上的效果如何。
最近的演習中,我們發現了自身防禦中的一個漏洞,其價值遠超我們承認作為安全提供商還存在漏洞的尷尬與不適。
來自滲透測試員的攻擊
我們SensePost紅隊最近的一次滲透測試,建立在攻擊者已經侵入邊界,並在內網某主機建立了「灘頭陣地」的假設上。「建立灘頭陣地」是我們SensePost團隊的一貫做法,其實就是執行橫向暴力攻擊,用從開源技術(比如LinkedIn)中收集的雇員信息構建一張可信的活動目錄(AD)用戶ID列表。
下一步就是對整張用戶列表嘗試一系列常用口令爆破,直到匹配出現,獲取到某用戶帳戶的訪問權。利用該用戶的憑證,SensePost團隊就能入手所有活躍用戶列表。重復此一過程,最終獲得管理員用戶帳戶訪問權。利用WannaCry黑客事件中臭名昭著的Mimikatz工具,團隊抽取到了緩存的域管理員憑證。
SensePost團隊一天之內就黑到了域管理員的帳戶。撬開通路的撬棍就是一張可靠的樣例口令表。
口令陷阱
你或許會認為暴力破解攻擊之所以能成功是因為用戶設的口令太「弱」了。
事實上,絕大多數口令都符合建議的安全憑證標準——字母數字混搭且長度在8-12個字符之間,還夾雜有標點符號和大寫字母。這些口令那麼容易被破的原因就在於它們使用了某些模式,無論多「強壯」,都是可預測的。
客戶環境的數據告訴我們,1/3(32%)的口令以大寫字母開頭,以數字結尾。1/8(12%)的口令含有年份,1/11(9%)以3個數字結尾。聽起來是不是有種熟悉感?你現在至少有一個帳戶用的口令就遵從上述模式之一吧?
口令越容易預測,網路罪犯就越容易構築模板口令用在高度針對性的暴力破解攻擊中。很明顯,安全公司自身也難以幸免。
遺留主機中的幽靈
防線上的裂縫可不止口令一個。我們的假想敵還會利用辦公室角落堆著落灰的老舊主機,利用它們身上未修復的遺留漏洞。雖然攻擊者不能從遺留系統中盜取有用數據——早就被淘汰、沒放什麼數據、沒接入環境,但這從來都不是攻擊者登錄老舊系統的目的所在。他們的目的是以此為橋,跨域訪問。
竊取控制
我們假想中的黑客不止一次地耍弄我們,先是惱人的口令,然後是遺留系統。第三次衝擊來自通過微軟動態數據交換(DDE)入侵終端的受控實驗。
我們的黑客朋友以電子郵件發起下一階段的攻擊,郵件中附帶含有嵌入式DDE對象的Word附件。這能是他們訪問並觸發外部腳本對象,彈出微軟Excel中常見的「公式結束」框,詢問用戶是否啟用編輯。點擊「是」就會下載PowerShell,賦予我們的網路對手遠程命令與控制權。
我們的檢測技術能發現這種操作,因為DDE是不被允許的。一發現警報,我們就可以監視註冊表修改情況——標誌著主機可能遭到入侵。我們還注意到該主機試圖與外部源通信,用PowerShell與C2服務器溝通。
不過,盡管測試發現了嚴重漏洞,我們的檢測平台還是在各個階段識別出了攻擊指征,我們能夠近實時地跟蹤滲透進程。這一點令人欣慰,也是檢測之所以是「深度防禦」策略重要部分的原因所在。
經驗教訓
需要著重強調的是,當今數字時代,公司企業不分行業、不分規模,都面臨網路攻擊或數據泄露的威脅,不是是否會發生,而是何時發生的問題。
持續的網路對抗中,自我意識是關鍵——沒發現漏洞就沒發修補。盡管此類攻防演習會挫傷企業網路安全團隊的自尊,我們所做的這種實驗卻可以洞察攻擊者可能觸碰到你數據的途徑。措手不及要不得,你需要經常強化系統和技術以了解自身業務風險;也別怕模擬和預測假設危機會弄髒雙手,防患於未然好過亡羊補牢。
註:本文來自於SecureData首席安全策略官 Charl van der Walt 分享其滲透測試團隊的自黑經驗。