“故善用兵者,屈人之兵而非战也” ——「孙子兵法」有感于欧美国家在威胁情报领域(Threat Intelligence)的百家争鸣,和国内安全从业者的努力与诉求, Sobug推出「全球威胁情报研究」专栏,旨在帮助安全从业者、企业IT管理者、安全领域投资者了解情报领域的最新动向, 精选并分享国外专家关于威胁情报的理论研究、标准制定、共享机制、体系建设等方面的精彩观点, 并辅以Sobug团队有深度的理解,视图用一小步的尝试换来威胁情报的一大步。
这篇文章来自IBM应急响应服务团队,该团队云集了许多业务熟练的安全顾问,他们致力于与客户携手保护自身系统免遭安全事故的骚扰。
鉴于这些顾问在该领域的深厚经验,希望读者能够通过这份报告对于当前威胁和安全事故有更深入的了解。
什么样的安全事故会在各个行业横行霸道?让我们看看IBM应急响应服务团队的内部消息。
安全事故在过去几年日益增多,大多数网络安全专家认为这一趋势只会愈演愈烈。不过此刻,我们的重点不是人人关注的攻击事件,而是如何让各行各业保护他们的数据免遭无时不刻的恶意攻击。
首先大家必须要了解到一个基本事实,那就是只要遵循正确的安全操作,大多数基础故障都完全可以避免。
我们要做的是深刻分析已经检测到的安全问题。尽管全球范围内的此类事故五花八门,但是它们大多特点、模式相似。
这篇报道主要阐述了我们在2015年观察到的四个关键趋势:
·“洋葱分层”安全事故的增多
· 勒索软件攻击与日俱增
· 内部威胁日益严重
· 安全问题正受到高度重视
顾名思义,“洋葱分层”事故是指在一次事故发生之后,其更显著、破坏性更强的攻击会在之后的调查中爆发。安全团队必须得对整个事故“抽丝剥茧”才能发现事件背后的根本原因。通常情况下,两起相关事件的背后主谋一般是:
1· 脚本小子,一种初级攻击者,攻击时通常不会隐藏自己,所以很容易会被抓到。他们一般会造成一些基础事故,这只会让安全团队警惕并请求ERS团队的帮助。
2· 隐身黑客,攻击更加精密谨慎,有可能在其肆意受害者网络几个星期甚至几个月后才被发现。相较而言,这种攻击更为可怕。在ERS团队遇到的所有事故中,这些复杂的、多层次的攻击对于需要短时间查明事实的技术人员来说是一个巨大的考验。他们需要找出根本原因、理清事故发展脉络,然后为客户提供阻止攻击者进入网络的办法建议。
有人打客服电话举报网站遭到涂改、系统管理员发现CPU遭到过度使用、服务器有异常流量等,这些情况往往会使得管理者对其原因进行调查。随后的调查会发现这些异常都是“脚本小子”的杰作,他们利用一些长期存在的系统漏洞或是配置错误干扰服务器。从我们调查结果来看,大量遭到破坏的系统都有一个共同的特点,那就是他们运行的操作系统版本都过于老旧并且长时间未打补丁。然而在调查过程中,一些无关于事故的现象会显现出来,并且立即扩大事故的影响范围。举个例子,调查人员可能会发现他们所分析的系统上的后门程序,其来源不是互联网,而是该客户的另一个服务器。或是,SSH日志可能会显示嫌疑人所在国家的服务器无人登录,而事实是早在最初事件发生之前该服务器就开始有人登录。随着调查愈发深入,更多的系统被卷入其中,整个事件也呈现出全新的模样:这是第二种攻击者所为,其复杂性和隐蔽性远超最初设想,危害也已经发生了几个月之久,并且在某些情况下,这种危害已经从面向互联网的服务器变成内部网络。
这些攻击者所使用的工具技术和脚本小子的工具大不相同。当然,他们的目的也大相近庭。脚本小子的目标都是那些“软柿子”,可以快速轻松攻破的服务器,这样他们就可以在有限的时间在网络上发送垃圾邮件,并且扫描其他服务器了。或者是,他们随手侵入某个网站,一旦被发现就立刻转移目标。这些人几乎不会浪费时间抹去他们的踪迹。
截然相反的是,隐形攻击者虽然会和脚本小子利用同样的漏洞进入系统,但是他们会使用一些更为复杂的商业化工具组合,或是恶意软件和后门程序,来提高其在该网络中的访问级别,并借此在几周内侵入更多的系统。这些人能更有效地掩盖自己的罪行,并且利用时间戳等反侦察技术,使得行踪曝光的时间大大延长。更重要的是,他们的最终目的可能远比脚本小子可怕,像是数据窃取、商业间谍,甚至更糟。
虽然这些狡猾的攻击者在竭尽全力不被察觉,并且在许多情况下也确实达到了目的。但是调查人员还是可以发现一些蛛丝马迹,这些线索可以使得恶意活动被尽早发现,方法如下:
· 反病毒软件在发现WEB服务器上木马和黑客工具后的警报。反病毒软件在发现后可以自动删除木马,这种功能容易给人一种安全的错觉。而问题的关键——木马是如何植入服务器的,仍然悬而未决。如果这个问题解决了,将会对确定适当的缓解措施有着重大帮助,也能够预防日后再次感染。事实上,反病毒警报至少表明有隐身攻击者正在尝试破坏服务器。
· 服务器意外重启以及其它异常表现。服务器有异常时,故障诊断通常着重于解决问题。这时候有安全意识的团队就会采取额外行动去调查问题根源。比如说,一个IT团队发现其服务器上多出某个未知软件并且导致了一些异常现象。删除该软件当然可以解决问题,但是同样重要的是要搞清楚该软件从何而来。可能是某种恶意软件工具包,这发出了一个清晰的信号,那就是某个安全泄露问题可能已经在网络系统中发生了。
· 可疑的日志记录。检查SSH日志中的最高权限登入(root)记录很有必要。有2个信号值得大家注意。第一,授权用户登录不应该显示为从网络中以最高权限登入,如有,则说明SSH设置已经被篡改。第二,IP地址的定位,如果显示地址不是合法管理员的登记地址,那你需要保持谨惕了。
· 用户锁定。大批用户要求重置锁定账户,这对于管理员来说应该是红色警报,需要立即反馈给安全团队。这可能说明有人在使用代码或是暴力攻击来“破解”用户密码。如不加以阻止,攻击者下一步就会去扫描面向互联网的服务器,这样他们就能找到使用窃取凭据的地方了。
导致这类攻击的因素有哪些?
上述事件有两个主要原因:
故障一:暴露在互联网中老旧的、未打补丁的系统。我们发现在很多情况下,攻击者最初侵入的服务器,其运行系统都老旧混乱并且多年未打补丁。这说明了在网络发展过程中存在不完善的补丁管理流程以及系统运维监管的普遍缺失。
故障二:客户几乎不了解自己的网络。“洋葱分层”攻击事件的受害者往往不会关注自己的网络。一般来说,他们只是运行着防病毒软件、使用着防火墙,有的会采用入侵防御系统,但是几乎没有人理睬安全设备发出的警报。这种情况下,只有重大的服务中断问题才会被重视并得以调查和解决。这种不重视不了解使得其网络成为攻击者的众矢之的,因为恶意活动在这里可以存在很久都不被发现。只要注意不要像脚本小子那样造成破坏性事件,客户就不会注意到任何不妥。
有何影响?
虽然恢复被脚本小子破坏了的系统只需要花费一个操作团队几天的时间精力,但是找到攻击根源、完全搞懂隐身攻击者的攻击流程或许需要几个月的时间。在这期间,隐身攻击者就可以肆意地畅游网络,最终侵入客户的网络核心。
企业可以做些什么?
· 及时更新系统。注意测试更新,并及时应用。这包括了时刻保持最新的操作系统版本。如果有不能定期更新的老版本系统,注意不要将其暴露在互联网中。
· 更加关注网络实况。可以采用一系列产品,它们可以提供入侵防护、安全信息、事件管理(SIEM)和网络流量监控等服务。
· 建立内部安全运营部门(或是外包给一个安全服务提供商托管)来监视安全系统发出的警报,并且跟进调查所有的异常情况。
·创建可执行的流程来应对常见问题,比如说服务器重启、账户锁定和防病毒软件警报。同一种问题发生在内部工作站和发生在面向互联网的服务器上需要截然不同的解决办法。
· 确保有适当的日志记录,并且集中存储,这样可以保证他人难以篡改,一旦发生意外也可以迅速查找。
· 定期进行渗透测试演习,这样可以尽早发现系统和应用程序中亟待解决的漏洞。
2015年ERS发现最常见的感染是勒索软件。顾名思义,这是一种恶意软件,在窃取用户的数据信息后要求一定的赎金才会归还信息。这样的勒索软件可以分成两大类:第一种是简单地锁定系统,只有用户支付一定的赎金才能解锁。这是一种不是太危险的勒索行为,因为其对于系统没有任何伤害也不会丢失任何信息。第二种是对硬盘驱动器上的文件进行加密,软件会留下一个文本文件,告诉你如何支付赎金、拿到密钥然后解密文件。这是一种比较危险的勒索,因为直接破解加密通常情况下是不可行的,并且在支付赎金之后还是可能丢失信息。第二种形式的一种特定破坏性变体不仅会加密计算机硬盘上的文件,也会加密网络分享和潜在目标企业文件。计算机行业的一个共识是,勒索软件是一个有利可图的地下产业。大多数厂商预计到2015年底甚至以后这都会是一个普遍的威胁所在,并且会波及移动设备。最近的加强版中有一种恶意软件,它会加密一个网页应用数据库中的特定部分。这种手段需要先在应用中植入恶意代码,而这种恶意代码会在应用程序进行正常的数据写入或读取时将这部分数据加密或解密。恶意代码运行数周或是数月之后,攻击者就会收回数据的加密密钥,这样数据库就无法被解密了。这之后,网页应用会停止运行,攻击者会要求赎金赎回密钥。这种勒索软件攻击是相当危险的,甚至备份数据都无法让加密数据恢复。威胁是否会越来越肆虐还不得而知。
助推攻击的因素有哪些?
攻击者依靠大量安全和流程上的故障频频得手。有时候,同一个客户端会在一年内被重复感染。这是因为,尽管导致感染的那部分表面原因得到了改善和解决,但是对于导致最初感染的根源却依旧任其发展:
故障一:不备份数据。有客户遭到勒索软件威胁时,ERS技
术人员会先问这样一个问题“你有这些加密文件的备份吗?”绝大多数情况下,客户的回答是“没有”。如果你的团队害怕丢失重要文件,那现在是时候重新审视一下你们的备份策略了。
故障二:薄弱的补丁程序。通常情况下,客户会要求ERS团队查找勒索软件能侵入系统的原因,答案往往是补丁管理不到位。更新的高级软件补丁应该在几小时内就投入应用,但事实上可能几个月后才被应用,甚至完全不用。“勒索软件“一个为人熟知的感染媒介就是未打补丁的操作系统漏洞,它们给攻击者机会获得想要锁定的系统资源或是想要加密的数据。
故障三:员工安全意识的缺乏。许多安全专家认为,员工是整个企业里最薄弱的一环。如果员工不知道如何安全地使用计算机,他们可能只是点击了错误链接或是访问了不安全的网站,这在不经意间就破坏了系统在信息安全方面做出的努力。ERS在持续观察之后发现,员工安全意识的缺乏是抵制勒索软件攻击过程中的致命漏洞。一个训练有素的员工团队是企业最廉价的安全投资。
有何影响?
影响程度取决于企业的规模和预防程度。有的会丢失关键文件,其他的则比较幸运,只是中断运营几天或是几周。最糟糕的情况下,这种勒索软件攻击有可能是灭顶之灾,甚至导致企业倒闭,大多发生在中小型企业。
企业可以做些什么?
鉴于攻击媒介的威胁(见图1),着手改善补丁流程和安全运营方法是最有效的长期战略。建立一个全公司范围的关于安全运营方法的培训项目。举个例子来说,至少每个员工都应该知道如何识别钓鱼攻击。
点击进入之前,每个人都应该这样问自己:
· 这封电子邮件来源可靠吗?
· 我过去有没有访问过这个链接?
· 我收到的这个X公司链接是否能链接到正确的网站?
如果任何一个问题的回答是“不”,用户必须迅速、直接地把这封邮件标记为可疑。这可以帮助企业的安全部门发现可疑行为,并且有助于分辨大规模攻击。
除了安全培训之外的其他预防措施:
· 使用反钓鱼技术,比如核查邮件服务器上的邮件标题可以阻止网络钓鱼行为。
如果其他措施都不奏效,能够截取异常二进制文件、进程和链接的软件可以帮助识别包括勒索软件在内的多种恶意软件。
除了用户安全意识,一些安全运营方法也有助于系统摆脱勒索事件、进行后果分析:
· 配置防病毒软件来隔离恶意文件,不要只是简单地删除。这样如果日后需要,还可以对其进行分析。
反思开放网络终端之间共享的必要性,只保留必要的共享,这样可以尽可能限制勒索软件的侵入渠道。
创建备份,并定期测试。这会在很大程度上帮助系统从勒索事件中快速恢复,并且最大限度的减少信息丢失。
如果备份数据在恢复阶段不可用,还有其他方式来恢复数据:
文件复原软件或是一些专业服务都可以有效地应对勒索软件变体,能够在加密之前创建一个文件副本,并且在这之后删除原件。这种做法奏效的关键在于硬盘驱动器的内容改变频率,以及检测出问题之后顺利恢复文件所需时间。
微软提供的卷影复制服务也是值得一试的。恶意软件通常会在加密文件之后删除卷影副本,以试图阻止恢复。但有时候副本没有被删除,从而恢复了加密文件也是有可能的。
在遏制阶段,登入关键文件夹和文件有助于快速确定勒索软件的最初攻入位置,也会提醒我们如何在网络层面遏制该项攻击。全面的记录和网络数据是确定损害程度的关键因素。登入关键文件和文件夹应该监测这些:
· 有哪些用户访问过它们?
· 哪些用户更改过它们?
· 他们是从网络的哪个位置访问的?
2015年里,ERS参与解决过几个不明原因的网络中断,都是停止运行后才找到了根本原因。症状有:路由器配置被更改、防火墙遭到未经授权的更改等。有时候影响只是暂时的,如不干预也会在几小时之内恢复正常,但是随时可能卷土重来。由于这种问题的波动性,很难区分这到底是正常的服务中断还是真的有问题。有时候情况会持续几周人们才能清楚地确定这是真正的安全事故,然后请求ERS团队的帮助。最好的情况就是,调查结果表明是共享管理账户作出的这些更改,但是真正原因仍旧难以确定。最坏的情况就是,没有登录记录,想要找到故障原因是白日做梦。ERS调查发现了一系列共同之处:· 有具有管理员权限的共享账户· 团队成员之间共享密码· 密码均长期设置为永不过期· 弱口令这些特点的共同点就是没有实施问责制度,糟糕的密码政策严重损害了终止程序的有效性。每当一个系统或是网络的管理员离开该企业时,禁用其个人账户并不能限制他们通过其他共享账户进行未授权行为,这些共享账户是他们在原来工作时日常使用的。其结果就是,前雇员可以通过这种办法恶意进入网络来表达他们对雇主的不满,只要他们换一种方式进入网络就可以达到目的。我们看到,大多数恶意内部攻击事件中,心怀不满的雇员通常会安装远程管理工具(RATs),比如 LogMeIn 或是 TeamViewer来进入企业网络。这种工具只是建立和互联网的外在联系,所以这种行为很少遭到监视或是防火墙阻止。很多时候数个服务器都会安装RATs。有时候也会运用一个有效的(也是共享的)虚拟专用网(VPN)账户。并且如果有个别共享账户被发现,该员工也会立刻改变连接到网络的方式。这种模式下,一个或是多个共享账户、网络管理员知识、有效VPN或是一个RATs,有了这些因素,一个满腹怨气的前雇员就可以在很长一段时间内给企业网络造成伤害了。
助推攻击的因素有哪些?
故障:缺乏问责。共享账户和缺乏问责制度是两个主要问题。共享账户的常规使用使得终止手续变得可有可无。
有何影响?
这种内部人员恶意攻击的行为可能会导致正常运营中断和其他潜在危害。即使这种损害不会延续很长时间,但仍旧需要企业的IT团队花费很长时间来检查并修复故障,而这仅仅是因为员工不满。
雇员在离开企业时不可能被清空记忆,但是有办法尽可能地减少这种恶意行为:
· 强制执行问责制和良好的密码机制。
- 所有的管理员都应该有自己的用户名和密码,并且正常的管理工作都需要用到其用户名和密码。这种条例应该适用于所有雇员,尤其是对于那些在网络或是基础设施中有管理员权限的员工来说至关重要。
- 禁止团队成员之间共享密码。
- 如果不能禁用共享管理账户,那该共享账户也应该被限制在最小范围内使用,并且密切监视员工对该账户的操作。
- 密码应该定期重置。
· 强制执行终止手续。
- 员工离职后,不论自愿或是强制手段,其所有凭据都应该被立即终止使用。
这套主要政策适用于任何情况。还有一些其他建议,可能会有助于事件的发现和分析:
· 所有的网络设备和服务器都应该同步于同一个网络时间协议(NTP)服务器,这是为了确保登录记录的时间戳一致。
· 所有服务器和网络设备都因该运用适当的日志记录。日志记录的信息至少应该包括:
- 登录时间
- 登录账户
- 登录来源
- 用户切换(比如说,X用户切换到超级用户权限)
- 用户活动
- 新账户的创建,尤其是超级用户账号
· 为了避免这样的日志被攻击者篡改,它们应该集中存储在一个专用服务器上。一个系统日志服务器可以提供基础保护,SIEM服务器还可以提供额外的服务,比如显示事件之间的相关性以及广泛提高网络监督力度。
事故遏制阶段的整治措施
商业化RATs,比如LogMeIn和TeamViewer是前任管理员恶意侵入网络的惯用手段。此类工具的工作原理大多和TeamViewer类似:
· 在攻击者电脑上安装RAT客户端
· 目标电脑上也安装了RAT服务。客户端网络中有一个服务器。
· 互联网中有一个中央服务器,由RAT软件开发商管理。
· RAT客户端和服务器都和互联网中的中央服务器建立TCP连接。这建立了客户端和服务器之间的重要联系,使得攻击者可以远程控制同样运行RAT服务的电脑,如图二所示。
· 客户端和服务器能够在连接到中央服务器之后适应不断变化的网络环境和防火墙规则,这使得阻断这种连接变得困难重重。
如果在调查过程中检测到未经授权的RAT,一个非常有效的补救办法就是用域名服务器阻止任何对已知RAT中央服务器的访问,例如teamviewer.com, master*.teamviewer. com, gotomypc.com或是logmein.com 。不幸的是,新的RAT如雨后春笋,改变一下基础设施,或是在原有基础上增加或减少中央服务器的数量。这也从一定程度上限制了这种措施的有效性。
模拟桌面演练桌面演练是一种应对突发安全事件的好方法。ERS团队为用户提供了广泛的桌面练习服务,这些服务包括:压力测试、受教育情况、技术性与非技术性讨论和跨职能评论。对于很多用户来说,这是他们公司实施虚拟演练的第一次尝试。
事故应对计划企业在计算机安全事故的应对计划上花了大力气。很多公司承认,尽管在预防和保护上进行大量投资,但是安全威胁依然存在。因此,是否具有快速而有效的应对能力可能决定着公司是经历短时间的有限影响还是长时间的灾难。在管理人员的推动下,公司已经制定了事故应对计划。应对计划已经就位的公司向ERS征求第三方意见,以此来更好的发挥计划的优势并弥补不足。
企业信息系统风险评估意识到安全漏洞潜在的巨大威胁(详见图3),公司管理层为战胜这些潜在的威胁付出了前所未有的努力。很多信息安全技术关注检测恶意软件和运行环境中的操作。 急于降低风险的ERS用户现在要求进行风险评估,寻找出风险因素,例如,在信息系统运行过程中或未知的对外通信系统中可能被恶意软件利用的漏洞,以此来减少风险因素。
如今,企业回归了基础。2015年网络安全的主要趋势有:隐身黑客识别、勒索软件、恶意内部攻击的挑战和管理层对公司安全防御状况的关注。而这些很大一部分能够通过关注“安全101”来解决。补丁智能管理、用户培训、正确的密码程序和标准的安全规范构成了一个深度防御策略,它们将帮助公司减少一些预料之内的风险,关键还是要有充分的准备。尽量不给黑客可趁之机以减少企业风险,但是要知道,攻击还是会出现,当攻击出现时,你需要迅速反应,组织防御,此时专业的帮助就会奏效。经验丰富的突发事件应对顾问会从专业角度提出最有效的方法来控制、消除攻击并从攻击中恢复过来,同时找到根本原因并防止此类情况再次发生。
本译文为SOBUG众测平台情报君所译 ,原文来自互联网本译文对应原文所有观点不受本译文中任何打字、排版、印刷或翻译错误的影响 。译者与SOBUG众测平台不对译文及原文中包含或引用的信息的真实性、准确性、可靠性、或完整性提供任何明示或暗示的保证 。译者与SOBUG众测平台亦对原文和译文的任何内容不承担任何责任。翻译本文的行为代表译者与SOBUG众测平台对原文立场持有任何立场和态度。译者与SOBUG众测平台均与原作者与原始发布者没有联系 ,亦未获得相关的版权授权,鉴于译者与SOBUG众测平台出于学习参考之目的翻译本文,而无出版、发售译文等任何商业利益意图,因此亦不对任何可能因此导致的版权问题承担责任。本文为SOBUG众测平台主要用于SOBUG众测平台进行外语和技术学习使用,亦向中国大陆境内的网络安全领域的研究人士进行有限分享。 望尊重译者的劳动和意愿,不得以任何方式修改本译文。 译者与SOBUG众测平台并未授权任何人士和第三方二次分享本译文,因此第三方对本译文的全部或者部分所做的分享、传播 、报道 、张贴行为, 及所带来的后果与译者与SOBUG众测平台无关。本译文亦不得用于任何商业目的,基于上述问题产生的法律责任,译者与SOBUG众测平台一律不予承担。
[原文:IBM X-FORCE威胁情报季刊(2015Q4)-Part 1 翻译 :sobug 安全脉搏SP小编整理发布】
本文作者:SP小编
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/40559.html
必填 您当前尚未登录。 登录? 注册
必填(保密)