当网络安全公司尝试入侵自己时会怎样?

安全公司自黑会发生什么情况?

作为一家安全公司,我们花了大量时间指导客户使用击退网络罪犯的各种工具和技术。2018给没做好安全的人好好上了一课。咨询公司NordVPN的数据表明,2018年里,超过10亿人受到11家不同公司13起数据泄露的影响。2019年,情况不会有太大改观,网络罪犯仍然逍遥法外,且对某些大型跨国企业虎视眈眈,就盼着一朝得手能够卷走众多用户数据,尽管大企业的安全资源更丰富。

但也不是只有Facebook或谷歌这样的业界巨轮才是网络罪犯的目标,没有哪家公司能逃过黑客及其手中键盘的青睐,即便是安全公司。

所以,我们一向有自黑的习惯,喜欢对自己发起安全攻击。此类演习的目的是让我们更好地了解自身系统在面对网络攻击时的表现,以及,一旦真正面对恶意对手,我们的规程在阻止恶意侵犯上的效果如何。

最近的演习中,我们发现了自身防御中的一个漏洞,其价值远超我们承认作为安全提供商还存在漏洞的尴尬与不适。

来自渗透测试员的攻击

我们SensePost红队最近的一次渗透测试,建立在攻击者已经侵入边界,并在内网某主机建立了“滩头阵地”的假设上。“建立滩头阵地”是我们SensePost团队的一贯做法,其实就是执行横向暴力攻击,用从开源技术(比如LinkedIn)中收集的雇员信息构建一张可信的活动目录(AD)用户ID列表。

下一步就是对整张用户列表尝试一系列常用口令爆破,直到匹配出现,获取到某用户账户的访问权。利用该用户的凭证,SensePost团队就能入手所有活跃用户列表。重复此一过程,最终获得管理员用户账户访问权。利用WannaCry黑客事件中臭名昭著的Mimikatz工具,团队抽取到了缓存的域管理员凭证。

SensePost团队一天之内就黑到了域管理员的账户。撬开通路的撬棍就是一张可靠的样例口令表。

口令陷阱

你或许会认为暴力破解攻击之所以能成功是因为用户设的口令太“弱”了。

事实上,绝大多数口令都符合建议的安全凭证标准——字母数字混搭且长度在8-12个字符之间,还夹杂有标点符号和大写字母。这些口令那么容易被破的原因就在于它们使用了某些模式,无论多“强壮”,都是可预测的。

客户环境的数据告诉我们,1/3(32%)的口令以大写字母开头,以数字结尾。1/8(12%)的口令含有年份,1/11(9%)以3个数字结尾。听起来是不是有种熟悉感?你现在至少有一个账户用的口令就遵从上述模式之一吧?

口令越容易预测,网络罪犯就越容易构筑模板口令用在高度针对性的暴力破解攻击中。很明显,安全公司自身也难以幸免。

遗留主机中的幽灵

防线上的裂缝可不止口令一个。我们的假想敌还会利用办公室角落堆着落灰的老旧主机,利用它们身上未修复的遗留漏洞。虽然攻击者不能从遗留系统中盗取有用数据——早就被淘汰、没放什么数据、没接入环境,但这从来都不是攻击者登录老旧系统的目的所在。他们的目的是以此为桥,跨域访问。

窃取控制

我们假想中的黑客不止一次地耍弄我们,先是恼人的口令,然后是遗留系统。第三次冲击来自通过微软动态数据交换(DDE)入侵终端的受控实验。

我们的黑客朋友以电子邮件发起下一阶段的攻击,邮件中附带含有嵌入式DDE对象的Word附件。这能是他们访问并触发外部脚本对象,弹出微软Excel中常见的“公式结束”框,询问用户是否启用编辑。点击“是”就会下载PowerShell,赋予我们的网络对手远程命令与控制权。

我们的检测技术能发现这种操作,因为DDE是不被允许的。一发现警报,我们就可以监视注册表修改情况——标志着主机可能遭到入侵。我们还注意到该主机试图与外部源通信,用PowerShell与C2服务器沟通。

不过,尽管测试发现了严重漏洞,我们的检测平台还是在各个阶段识别出了攻击指征,我们能够近实时地跟踪渗透进程。这一点令人欣慰,也是检测之所以是“深度防御”策略重要部分的原因所在。

经验教训

需要着重强调的是,当今数字时代,公司企业不分行业、不分规模,都面临网络攻击或数据泄露的威胁,不是是否会发生,而是何时发生的问题。

持续的网络对抗中,自我意识是关键——没发现漏洞就没发修补。尽管此类攻防演习会挫伤企业网络安全团队的自尊,我们所做的这种实验却可以洞察攻击者可能触碰到你数据的途径。措手不及要不得,你需要经常强化系统和技术以了解自身业务风险;也别怕模拟和预测假设危机会弄脏双手,防患于未然好过亡羊补牢。

注:本文来自于SecureData首席安全策略官 Charl van der Walt 分享其渗透测试团队的自黑经验。

上一篇:监视加密网络流量的3种方法

下一篇:阿里云2018DDoS攻击态势报告:峰值已经以T为单位