压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

安全公司自黑會(huì)發(fā)生什么情況？

作為一家安全公司，我們花了大量時(shí)間指導(dǎo)客戶(hù)使用擊退網(wǎng)絡(luò)罪犯的各種工具和技術(shù)。2018給沒(méi)做好安全的人好好上了一課。咨詢(xún)公司NordVPN的數(shù)據(jù)表明，2018年里，超過(guò)10億人受到11家不同公司13起數(shù)據(jù)泄露的影響。2019年，情況不會(huì)有太大改觀，網(wǎng)絡(luò)罪犯仍然逍遙法外，且對(duì)某些大型跨國(guó)企業(yè)虎視眈眈，就盼著一朝得手能夠卷走眾多用戶(hù)數(shù)據(jù)，盡管大企業(yè)的安全資源更豐富。

但也不是只有Facebook或谷歌這樣的業(yè)界巨輪才是網(wǎng)絡(luò)罪犯的目標(biāo)，沒(méi)有哪家公司能逃過(guò)黑客及其手中鍵盤(pán)的青睞，即便是安全公司。

所以，我們一向有自黑的習(xí)慣，喜歡對(duì)自己發(fā)起安全攻擊。此類(lèi)演習(xí)的目的是讓我們更好地了解自身系統(tǒng)在面對(duì)網(wǎng)絡(luò)攻擊時(shí)的表現(xiàn)，以及，一旦真正面對(duì)惡意對(duì)手，我們的規(guī)程在阻止惡意侵犯上的效果如何。

最近的演習(xí)中，我們發(fā)現(xiàn)了自身防御中的一個(gè)漏洞，其價(jià)值遠(yuǎn)超我們承認(rèn)作為安全提供商還存在漏洞的尷尬與不適。

來(lái)自滲透測(cè)試員的攻擊

我們SensePost紅隊(duì)最近的一次滲透測(cè)試，建立在攻擊者已經(jīng)侵入邊界，并在內(nèi)網(wǎng)某主機(jī)建立了“灘頭陣地”的假設(shè)上。“建立灘頭陣地”是我們SensePost團(tuán)隊(duì)的一貫做法，其實(shí)就是執(zhí)行橫向暴力攻擊，用從開(kāi)源技術(shù)(比如LinkedIn)中收集的雇員信息構(gòu)建一張可信的活動(dòng)目錄(AD)用戶(hù)ID列表。

下一步就是對(duì)整張用戶(hù)列表嘗試一系列常用口令爆破，直到匹配出現(xiàn)，獲取到某用戶(hù)賬戶(hù)的訪問(wèn)權(quán)。利用該用戶(hù)的憑證，SensePost團(tuán)隊(duì)就能入手所有活躍用戶(hù)列表。重復(fù)此一過(guò)程，最終獲得管理員用戶(hù)賬戶(hù)訪問(wèn)權(quán)。利用WannaCry黑客事件中臭名昭著的Mimikatz工具，團(tuán)隊(duì)抽取到了緩存的域管理員憑證。

SensePost團(tuán)隊(duì)一天之內(nèi)就黑到了域管理員的賬戶(hù)。撬開(kāi)通路的撬棍就是一張可靠的樣例口令表。

口令陷阱

你或許會(huì)認(rèn)為暴力破解攻擊之所以能成功是因?yàn)橛脩?hù)設(shè)的口令太“弱”了。

事實(shí)上，絕大多數(shù)口令都符合建議的安全憑證標(biāo)準(zhǔn)——字母數(shù)字混搭且長(zhǎng)度在8-12個(gè)字符之間，還夾雜有標(biāo)點(diǎn)符號(hào)和大寫(xiě)字母。這些口令那么容易被破的原因就在于它們使用了某些模式，無(wú)論多“強(qiáng)壯”，都是可預(yù)測(cè)的。

客戶(hù)環(huán)境的數(shù)據(jù)告訴我們，1/3(32%)的口令以大寫(xiě)字母開(kāi)頭，以數(shù)字結(jié)尾。1/8(12%)的口令含有年份，1/11(9%)以3個(gè)數(shù)字結(jié)尾。聽(tīng)起來(lái)是不是有種熟悉感？你現(xiàn)在至少有一個(gè)賬戶(hù)用的口令就遵從上述模式之一吧？

口令越容易預(yù)測(cè)，網(wǎng)絡(luò)罪犯就越容易構(gòu)筑模板口令用在高度針對(duì)性的暴力破解攻擊中。很明顯，安全公司自身也難以幸免。

遺留主機(jī)中的幽靈

防線上的裂縫可不止口令一個(gè)。我們的假想敵還會(huì)利用辦公室角落堆著落灰的老舊主機(jī)，利用它們身上未修復(fù)的遺留漏洞。雖然攻擊者不能從遺留系統(tǒng)中盜取有用數(shù)據(jù)——早就被淘汰、沒(méi)放什么數(shù)據(jù)、沒(méi)接入環(huán)境，但這從來(lái)都不是攻擊者登錄老舊系統(tǒng)的目的所在。他們的目的是以此為橋，跨域訪問(wèn)。

竊取控制

我們假想中的黑客不止一次地耍弄我們，先是惱人的口令，然后是遺留系統(tǒng)。第三次沖擊來(lái)自通過(guò)微軟動(dòng)態(tài)數(shù)據(jù)交換(DDE)入侵終端的受控實(shí)驗(yàn)。

我們的黑客朋友以電子郵件發(fā)起下一階段的攻擊，郵件中附帶含有嵌入式DDE對(duì)象的Word附件。這能是他們?cè)L問(wèn)并觸發(fā)外部腳本對(duì)象，彈出微軟Excel中常見(jiàn)的“公式結(jié)束”框，詢(xún)問(wèn)用戶(hù)是否啟用編輯。點(diǎn)擊“是”就會(huì)下載PowerShell，賦予我們的網(wǎng)絡(luò)對(duì)手遠(yuǎn)程命令與控制權(quán)。

我們的檢測(cè)技術(shù)能發(fā)現(xiàn)這種操作，因?yàn)镈DE是不被允許的。一發(fā)現(xiàn)警報(bào)，我們就可以監(jiān)視注冊(cè)表修改情況——標(biāo)志著主機(jī)可能遭到入侵。我們還注意到該主機(jī)試圖與外部源通信，用PowerShell與C2服務(wù)器溝通。

不過(guò)，盡管測(cè)試發(fā)現(xiàn)了嚴(yán)重漏洞，我們的檢測(cè)平臺(tái)還是在各個(gè)階段識(shí)別出了攻擊指征，我們能夠近實(shí)時(shí)地跟蹤滲透進(jìn)程。這一點(diǎn)令人欣慰，也是檢測(cè)之所以是“深度防御”策略重要部分的原因所在。

經(jīng)驗(yàn)教訓(xùn)

需要著重強(qiáng)調(diào)的是，當(dāng)今數(shù)字時(shí)代，公司企業(yè)不分行業(yè)、不分規(guī)模，都面臨網(wǎng)絡(luò)攻擊或數(shù)據(jù)泄露的威脅，不是是否會(huì)發(fā)生，而是何時(shí)發(fā)生的問(wèn)題。

持續(xù)的網(wǎng)絡(luò)對(duì)抗中，自我意識(shí)是關(guān)鍵——沒(méi)發(fā)現(xiàn)漏洞就沒(méi)發(fā)修補(bǔ)。盡管此類(lèi)攻防演習(xí)會(huì)挫傷企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)的自尊，我們所做的這種實(shí)驗(yàn)卻可以洞察攻擊者可能觸碰到你數(shù)據(jù)的途徑。措手不及要不得，你需要經(jīng)常強(qiáng)化系統(tǒng)和技術(shù)以了解自身業(yè)務(wù)風(fēng)險(xiǎn)；也別怕模擬和預(yù)測(cè)假設(shè)危機(jī)會(huì)弄臟雙手，防患于未然好過(guò)亡羊補(bǔ)牢。

注：本文來(lái)自于SecureData首席安全策略官 Charl van der Walt 分享其滲透測(cè)試團(tuán)隊(duì)的自黑經(jīng)驗(yàn)。