從索尼黑客起訴書看IT安全的5個經驗教訓
責編:gltian |2018-10-22 11:13:11對朝鮮黑客樸鎮赫的起訴書包含有源自FBI調查的有價值信息,可供公司企業防御類似的攻擊。
2018年8月,美國司法部(DoJ)公布了對朝鮮間諜樸鎮赫的起訴書,稱其是索尼黑客事件和WannaCry勒索軟件的背后黑手。這份170多頁的文檔由FBI洛杉磯辦公室的 Nathan Shields 撰寫,展示了FBI是如何運用一系列嚴謹的取證分析手段找出各種攻擊的執行方法。
安全研究人員給樸鎮赫所屬的黑客組織取了很多花名,比如 Lazarus Group、APT37、Lab 110、Group 123、Hidden Cobra、Nickel Academy和Reaper。于是,從起訴書中首先可以看出:朝鮮是過去6年來全球多起黑客活動的中心。
當然,朝鮮政府肯定是要否認樸鎮赫的存在的,這些網絡罪行也肯定與朝鮮政府無關。政治上的事暫且不論,我們不妨看看FBI發現了什么,又有哪些經驗教訓是CISO和其他IT經理可以借鑒的。
FBI是怎么發現索尼事件背后黑客的
從法律角度閱讀該起訴書沒什么意義,不如看看文檔中反映出來的朝鮮滲透美國網絡的決心與毅力。
FBI成功跟蹤了樸鎮赫的數字蹤跡。此人被派駐中國邊境城市,明面上的身份是朝鮮政府為掩蓋其軍事黑客行動而設的幌子公司“朝鮮博覽公司”的職員。在索尼黑客事件爆發前,他回到了朝鮮。
首先,FBI系統性地剖析了其使用的惡意軟件,建立了3起索尼數據泄露事件和3個WannaCry版本的攻擊時間線。
索尼事件中的惡意軟件包含有1萬個硬編碼的主機名,顯示出黑客潛伏在索尼網絡中數月,進行了廣泛深入的研究。該惡意軟件還含有專門針對索尼網絡中特定Unix/Linux系統的攻擊代碼。
首次攻擊在2014年12月爆發,但黑客的偵察在2014年秋天就做好了。攻擊正好在《刺殺金正恩》電影發行前爆發。這部電影是黑客發起攻擊的動機之一。
攻擊者使用了很多其他針對性元素,包括偽裝成發自索尼員工Facebook賬戶的魚叉式網絡釣魚郵件。這些釣魚郵件都包含有帶感染了惡意軟件的附件。其他郵件被發往預定在圣誕節首映該影片的AMC院線員工。與索尼一樣,這些郵件也都含有惡意附件,只不過沒能成功滲透AMC的網絡。
用來攻擊索尼的同一批電子郵件和IP地址還被用于攻擊某英國制片公司,因為這家公司當時在制作一部朝鮮相關的獨立電視劇集。John Carlin 的《代碼戰爭降臨》一書生動詳細地描述了索尼遭受的一系列攻擊和其他民族國家網絡恐怖分子的其他網絡襲擊活動。
2016年,同一批朝鮮黑客還入侵了SWIFT支付網絡,盜取多家東南亞銀行的資金。FBI稱,這些黑客從2014年秋天開始就盯上了這幾家銀行。銀行感染的后門程序通過自定義的二進制協議通信,走該協議的流量看起來很像TLS通信流量。這幾家亞洲銀行感染的惡意軟件和索尼網絡感染的惡意軟件都含有一個安全刪除函數,可以回溯到同一批朝鮮黑客身上。
樸鎮赫及其同伙很忙:2017年用水坑攻擊對多家波蘭銀行下手——偵察工作始于2016年秋。同一批電子郵件和Facebook賬戶,以及朝鮮IP地址,在入侵美國企業的攻擊中也有現身,被入侵企業包括洛克希德馬丁公司和多家韓國企業。Brambul和Destover也在朝鮮黑客創建的惡意軟件之列。
俄羅斯網絡安全公司Group-IB公布的研究分析結果佐證了FBI的發現。他們的報告是在2017年年中發布的,且同樣將這些黑客活動關聯到了一起。
最后,上述黑客事件中所用惡意軟件的代碼模塊還出現在了WannaCry勒索軟件里,比如IP和電子郵件地址等很能說明問題的關鍵因素。WannaCry其實有3個不同版本,但全都可以通過通用代碼和共享的比特幣錢包關聯起來。
朝鮮的命令與控制基礎設施觸角廣布
起訴書中呈現的朝鮮命令與控制(C&C)基礎設施的分布之廣令人震驚。C&C服務器散布在美國、南非、沙特阿拉伯、波蘭和其他國家。電子郵件賬戶也是通過全球多個VPN和代理服務器訪問,顯示出他們防溯源工作做得十分縝密。攻擊使用了多款后門和木馬,通過大量Gmail賬戶和虛假Facebook賬號發送。下圖顯示的就是樸鎮赫所用的各種賬戶。
更令人難以置信的是,直到最近,朝鮮整個國家都只有約1000個公網IP地址和非常低的帶寬連接可用。所以,2016年1月,一幫流氓黑客就對朝鮮ISP發起了DDoS攻擊,作為索尼黑客事件的報復。
CISO和IT經理能從中學到的
起訴書中描述的朝鮮黑客活動給IT安全帶來了5條經驗教訓。
1. 網絡釣魚意識培訓很重要
AMC院線沒有步索尼被黑后塵,是因為他們訓練得更多,防御更好。意識培訓是個長期持續的過程。黑客編制網絡釣魚郵件的技術不斷精進,編出的郵件內容看起來像真的一樣,還用內部信息、企業標志及郵件模板,還有幾乎完全相像的域名和郵件地址來誘騙收件人點擊。
很多供應商都提供意識培訓項目,包括 Wombat Security、KnowBe4、MediaPro.com 和SANS研究所。此類項目的目標應是在一個連續的循環中評估、教育、強化和測量。此外,還應考慮如何激勵用戶,讓培訓不那么繁重乏味,提升培訓的有效度。
2. 評估入侵檢測系統
企業需要更好的早期預警入侵檢測機制。朝鮮黑客在索尼和其他網絡中逡巡了數月之久,摸清了該打擊哪些服務器和冒充哪些雇員賬戶。如果公司入侵檢測系統(IDS)無法檢測入侵者,那就該更換其他解決方案了。
黑客攻克的每個目標都是精心挑選的,并做了詳盡的研究以提升其網絡釣魚郵件和水坑的成功率。除了AMC院線,他們在滲透其他公司網絡和長期內部探索揀選正確目標上都極其成功。
3. 強化網絡分隔
作為IDS的補充,公司網絡分隔也應加固。索尼的網絡就沒劃分好,黑客可以很容易地在其中橫向移動。應將數據隔離在各自恰當的地方。
4. 審計訪問控制
是時候審計公司網絡控制了。檢查哪些雇員擁有管理員權限,了解這些權限是否過于寬泛。
5. 執行紅隊演練
進行紅隊演練以發現弱點。完整報告包含紅隊可用于確定公司網絡可被索尼黑客所用同種戰術攻克的細節。理想狀態下,在上述幾個關鍵問題都解決了之后再進行紅隊演練。
John Carlin 的《代碼戰爭降臨》地址:
https://www.amazon.com/Dawn-Code-War-Americas-Against/dp/1541773837
Group-IB報告地址: