从“驱动人生”APT攻击事件看企业安全建设误区
驱动人生遭受APT进攻恶性事件
2018年年13月13日,中国Windows服务平台下免費驱动器管理系统软件“驱动人生”根据手机软件在线升级的方法向客户消息推送了后门病毒DTSealer,该程序流程运用“永恒之蓝”高风险系统漏洞开展内网内的大范畴散播,一起传回被感柒客户电脑上CPU及其ip地址等实际信息内容到攻击网站,以后免费下载恶意代码开展实行。本次感柒总面积极大,一上午時间内现有数十万客户电脑上受到感染。
依据技术专业安全性组织恶性事件回溯,发觉它是这场早有蓄谋的APT进攻,网络攻击涌现之时時间将近1个半月,并最后挑选在驱动人生专业技术人员精英团队出国留学团队拓展之际突然暴发进攻,运用驱动人生系列产品手机软件的升級程序流程开展进攻,超过搭建僵尸网络,安裝云控木马病毒、组网方案挖币等不法目地。
依据安全性组织过后复原,获得APT进攻传动链条给出:
1)早期提前准备
网络攻击搜集驱动人生企业信息,包含办公室出入口IP,开发设计运维管理职位职工名单,一部分网络服务器内部网IP,将会嗅探确定了被改动的远程桌面端口。
2)执行侵入
11.12日12:52分:外网地址设备根据代理商登陆到跳板机(222)和编译机(208)。
3)横着中移动
11.13日:从9点刚开始,对223网段下达SMB工程爆破,且目的性应用运维管理岗职工名字(LiuXX,SuXX,ChenXX,ZeXX)做为账号名,关键总体目标为ZeXX,发觉总体目标设备(175);
11.15日18:18分:应用ZeXX账号登陆到升級网络服务器;
12.2日18:08分:应用administrator账号登陆到升級网络服务器;
4)提前准备进攻
11.5日:此次进攻中应用的效仿免费下载网站域名ackng.com被申请注册。
5)启动进攻
12.13日13:26分:再度应用administrator账号登陆到升級网络服务器,疑是剖析登陆服务器的配置计划方案;
12.14日13:16分:登陆到升級网络服务器,备份文件并改动ServerConfig.xml文档,一起登陆SQL数据库查询后插进故意下载地址内容,并且于当日约16:03删掉插进的内容;
6)毁尸灭迹
12.15日18:13分:网络攻击再度登陆升級网络服务器,删掉了各种实际操作纪录,一起复原了ServerConfig.xml文档。
恶性事件剖析
该次进攻显著是多次用心提前准备的对于驱动人生企业的APT进攻主题活动,网络攻击在开展进攻前把握了该企业很多內部信息内容,包含驱动人生企业员工的名字、岗位信息内容;跳板机的帐号密码(不明方式泄露);升級服务器的配置对策;乃至包含企业的团队拓展方案等。
网络攻击以外网涌现之时将近1六个月后,在驱动人生企业有关专业技术人员出国留学团队拓展时,进行进攻攻坚:改动配置文件,下达木马程序。
从本次恶性事件中,也体现出了公司长时间具有的某些安全隐患和错误观念,各自反映在给出好多个层面:
1、运维安全不容忽视
本次恶性事件中,暴露出公司运维管理的几大安全隐患:弱动态口令和登陆密码复用率。
据表露,本次进攻恶性事件中,距今案发一月前的11.13日,升級网络服务器被内部网设备(192.168.xx.208)试着过SMB工程爆破,但仍未立即取得成功。在其中最该关心的是,192.168.xx.208在试着SMB工程爆破时,应用了4位驱动人生公司职员名字拼音做为登录名试着,包含一名已辞职约大半年的职工,这种职工职位均为后台管理开发设计,运维管理。而工程爆破全过程中,从工程爆破刚开始到完毕,工程爆破時间非常短且工程爆破频次非常少(30+次),因而安全性组织猜想,工程爆破的密码字典十分有限公司,体现出网络攻击已熟识这种职工信息内容。从文中暴露出运维管理工作人员应用本身名字有关拼音做为动态口令的弱动态口令难题,造成网络攻击在开展工程爆破时具备挺高的目的性。
一起,在本次恶性事件中,被网络攻击攻克的跳板机与192.168.xx.208,192.168.xx.155等设备的管理员密码同样,换句话说,假如许多人把握了该企业跳板机管理员密码,基础理论上是能够根据跳板机操纵到内部网几台其他设备,比较严重暴漏了登陆密码复用率难题,造成安全验证名存实亡。
2、“重界限,轻本质”的安全性基本建设错误观念
它是现阶段许多公司存有的1个安全性基本建设错误观念,觉得要是自身服务器防火墙、IPS、Waf等界限安全性基本建设充足健全,就不容易给网络攻击可乘之机,对内网安全基本建设欠缺观念。造成当这种取决于标准或己知对策的界限网络安全产品被绕开或无效时,网络攻击进到内部网后,应对的是一览无遗、一马平川的进攻利好消息局势。
3、内部网横着中移动个人行为不容忽视
这我觉得都是许多公司存有的1个错误观念,觉得如今的高級网络攻击十分聪慧,不容易开展说白了的横着中移动,只是在开展侵入以前就整体规划好内部网拓扑,直捣黄龙,因此不用体制网横着中移动开展过多财务审计。而事实上,即便是此次那样的APT进攻,也会存有小范畴的横着中移动和检测。因为现阶段各公司内部网之复杂性,再高明的网络黑客也并不是对全部内部网关键点了然于胸,他能知道的大量是其总体目标所属的网段范畴,以后依据这一范畴开展小范畴检测和中移动,而这类中移动可否被公司认知,就变成预防该类进攻涌现之时并暴发的重要了。
4、威协谍报安全性外置不够
说到黑客攻击,一切方式的黑客攻击全是必须1个全过程的,网络攻击通常必须根据早期信息内容搜集、易损性剖析、检测,最后执行进攻步骤。而所述的这种泄漏统计数据的公司因此是到网络攻击执行进攻时乃至是以后才会认知到有关威协,最后导致有关损害。换句话,假如可以将网络攻击详案提早认知,根据在其初期信息内容收集、易损性检测全过程中获得有关网络黑客谍报,提前准备有关预防,便能够大幅度减少有关安全性和损害风险性,这就是威协谍报的核心理念。殊不知事实上,现阶段许多威协谍报的获得方法不足外置,乃至是应用场景内部网统计数据获得威协谍报,因此代表网络攻击早就进行早期信息内容搜集、易损性剖析和检测,并已经执行内部网进攻步骤。这时暴发威协谍报,已与开展应急响应无异,仍未保证威协谍报需有的安全性外置。
5、网络攻击追溯艰难
在本次恶性事件中,追溯到的网络攻击ip均来源于于海外,代表网络攻击选用了起点、跳板或是肉食鸡开展的攻击性行为,未留下真實本人基本信息,从文中我觉得也体现了了传统式进攻追溯方式的困扰:无法获得网络攻击真人版信息内容,造成对于网络攻击的追溯因此无疾而终。
安全性提议
应用场景所述恶性事件以及剖析,对于企业安全基本建设,能够明确提出下列几类目的性提议:
1、常态安全性经营基本建设
常态安全性经营,不但包含对于弱动态口令、配备基线漂移等运维安全难题,还解决线上线下退出各种服务器财产乃至线上线下Web服务项目财产开展全量常态安全工作。并根据一致的系统化管理制度、合理的落地式专用工具保持所述常态安全性经营的7*28钟头自动化技术安全巡检维护保养,保持安全性可视性可控性。
2、内部网进攻认知、追溯基本建设
在安全性基本建设上,公司不可以再沉溺于“稳如泰山”的界限错觉,必须在搭建界限安全性范围之内靠谱的状况下多多的关心内网安全基本建设。对于早已进到内部网的网络攻击或病毒感染,要化普攻为积极,具备应用场景蒙骗防御力的积极诱捕方法,保持体制网侵入、横着中移动、检测的高灵敏认知,并在此项工作上保持对网络攻击追溯工作能力的提升。
3、威协谍报外置基本建设
以便使网络攻击的垂涎详案尽快被发觉,威协谍报基本建设必须更为外置,已不取决于内部网统计数据开展威协谍报,尽量将威协谍报获得時间点提早到网络攻击出外网开展信息内容搜集、对外开放业务流程检测环节,并尽量将威协谍报收集与真實业务流程关联,获得更加合理的一卖谍报。
4、应用场景个人行为的威协检验工作能力基本建设
不同于传统式界限安全性方式应用场景现有对策或标准,公司在安全性基本建设全过程中能够多多的考虑到导入应用场景个人行为的威协检验方式。该类方式的益处取决于其不依靠现有标准,只是应用场景深度学习和个人行为实体模型对各种己知不明攻击性行为都具备鉴别工作能力。开展该类基本建设,将其运用于威协检验,能够得到相比传统式方式更为灵巧、丰富多彩的安全性维护。
相关文章
- 5条评论
- 世味青迟2022-05-29 08:07:03
- 和个人行为实体模型对各种己知不明攻击性行为都具备鉴别工作能力。开展该类基本建设,将其运用于威协检验,能够得到相比传统式方式更为灵巧、丰富多彩的安全性维护。
- 夙世绮筵2022-05-29 13:50:17
- :应用ZeXX账号登陆到升級网络服务器; 12.2日18:08分:应用administrator账号登陆到升級网络服务器; 4)提前准备进攻 11.5日:此次进攻中应用的效仿免费下载网站域名ackng.com被
- 孤央箴词2022-05-29 10:50:07
- XX,ZeXX)做为账号名,关键总体目标为ZeXX,发觉总体目标设备(175); 11.15日18:18分:应用ZeXX账号登陆到升級网络服务器; 12.2日18:08分:应用administr
- 嘻友岛徒2022-05-29 07:37:14
- ler,该程序流程运用“永恒之蓝”高风险系统漏洞开展内网内的大范畴散播,一起传回被感柒客户电脑上CPU及其ip地址等实际信息内容到攻击网站,以后免费下载恶意代码开展实行。本次感柒总面
- 森槿瘾然2022-05-29 08:31:14
- 业信息,包含办公室出入口IP,开发设计运维管理职位职工名单,一部分网络服务器内部网IP,将会嗅探确定了被改动的远程桌面端口。 2)执行侵入 11.12日12: