攻擊:誰(shuí)在攻擊?
7月5日晚,一家意大利軟件廠商[ Hacking Team主頁(yè), http://www.hackingteam.it/ ]被攻擊,其掌握的400GB數(shù)據(jù)泄露出來(lái),由此可能引發(fā)的動(dòng)蕩,引起了業(yè)界一片嘩然。截止發(fā)稿時(shí)止,有多個(gè)組織聲稱對(duì)此行為負(fù)責(zé),包括Gamma Group Hacker[ Gamma Group Hacker, http://www.ibtimes.co.uk/who-hacked-hacking-team-gamma-group-hacker-holds-their-hand-1509662 ]。雖然目前沒(méi)有事實(shí)表明該聲稱確實(shí)可信,但由此讓黑色產(chǎn)業(yè)鏈條中的一種“新”形態(tài)暴露出來(lái),即從攻擊最終用戶演變?yōu)楣糁虚g鏈條乃至攻擊者組織之間的互相廝殺,這種形態(tài)已經(jīng)從黑產(chǎn)上升到供應(yīng)商、政府機(jī)構(gòu)之間的問(wèn)題,這不得不說(shuō),對(duì)涉及中間鏈條的組織,敲響了警鐘。
Hacking Team及Gamma Group
Hacking Team在意大利米蘭注冊(cè)了一家軟件公司,主要向各國(guó)政府及法律機(jī)構(gòu)銷售入侵及監(jiān)視功能的軟件。其遠(yuǎn)程控制系統(tǒng)可以監(jiān)測(cè)互聯(lián)網(wǎng)用戶的通訊、解密用戶的加密文件及電子郵件,記錄Skype及其他VoIP通信,也可以遠(yuǎn)程激活用戶的麥克風(fēng)及攝像頭。其總部在意大利,雇員40多人,并在安納波利斯和新加坡?lián)碛蟹种C(jī)構(gòu),其產(chǎn)品在幾十個(gè)國(guó)家使用[ Hacking Team,介紹 https://en.wikipedia.org/wiki/Hacking_Team ]
無(wú)獨(dú)有偶,這次聲稱對(duì)此次事件負(fù)責(zé)的組織,Gamma Group International[ Gamma Group主頁(yè), https://www.gammagroup.com/ ]也曾經(jīng)在2014年的8月被人入侵過(guò),在那次的事件中,該組織被泄露了40GB的內(nèi)部文檔和惡意程序代碼。這個(gè)組織無(wú)論從背景還是業(yè)務(wù)都與Hacking Team類似,但是一家英國(guó)的公司。
地下產(chǎn)業(yè)鏈各方的相互廝殺由此可見(jiàn)一斑,這里簡(jiǎn)單用一張圖來(lái)簡(jiǎn)單展示一下其中的一個(gè)部分。值得關(guān)注的是,這次通過(guò)攻擊供應(yīng)商等中間鏈條獲得攻擊數(shù)據(jù)的動(dòng)態(tài)。
圖注:黑色產(chǎn)業(yè)鏈
泄露數(shù)據(jù)
此次事件中泄露的數(shù)據(jù)多達(dá)400GB,數(shù)據(jù)包中主要包含幾個(gè)大的部分:
遠(yuǎn)程控制軟件源碼,也是其核心,暫且稱之為 Hacking Team RCS(Remote Control System)反查殺分析工具及相關(guān)討論文檔0Day、漏洞及相關(guān)入侵工具入侵項(xiàng)目相關(guān)信息,包括賬戶密碼、數(shù)據(jù)及音像資料辦公文檔、郵件及圖片其他影響程度
在這些數(shù)據(jù)中,綠色標(biāo)注的3類比較引人關(guān)注,這3類數(shù)據(jù)將對(duì)各個(gè)不同的領(lǐng)域造成影響
更頻繁:0Day、漏洞及相關(guān)入侵工具,從目前獲取的信息來(lái)看
Flash 相關(guān)的應(yīng)用及軟件使用量非常龐大,Windows平臺(tái)上幾乎是所有的用戶都會(huì)用到;
這些漏洞的流入黑色產(chǎn)業(yè)鏈,會(huì)讓攻擊更加快速和復(fù)雜化
門檻低:Hacking Team RCS,是該組織主要輸出的軟件,從目前獲取的信息來(lái)看[ Hacking Team RCS分析,《簡(jiǎn)要分析:Hacking Team遠(yuǎn)程控制系統(tǒng)》]
可以獲取目標(biāo)用戶的電話、電腦的全部信息及影音資料;
涉及的桌面OS從Windows到MacOs X,手機(jī)OS基本覆蓋了市場(chǎng)上流行的系統(tǒng);
受該工具及其已經(jīng)感染的客戶端數(shù)量的影響,會(huì)讓攻擊門檻降低
影響大:入侵項(xiàng)目相關(guān)信息,這里面包含了各種入侵過(guò)程資料,甚至包含了已經(jīng)成功獲取的賬戶密碼及相關(guān)資料,一旦被惡意攻擊者獲取并利用,將會(huì)在黑色產(chǎn)業(yè)鏈中進(jìn)一步發(fā)酵。
圖注:Hacking Team遠(yuǎn)程控制系統(tǒng)
防護(hù)思路
綠盟科技威脅響應(yīng)中心在長(zhǎng)年對(duì)黑客組織事件的追蹤及分析中,獲得了豐富的經(jīng)驗(yàn)積累,借鑒及建立了一些模型去理解它們,試圖從中找到規(guī)律,以便為應(yīng)對(duì)未來(lái)的未知威脅提供經(jīng)驗(yàn)借鑒。針對(duì)此次事件,這里使用Intrusion Kill Chain模型跟大家進(jìn)行探討,雖然不一定適合所有業(yè)務(wù)環(huán)境,但希望可以幫助大家找到指定自身防護(hù)方案的一點(diǎn)靈感。
Intrusion Kill Chain模型[ Intrusion Kill Chain(或稱為Cyber Kill Chain)模型由Lock Martin公司Eric M. Hutchins等三位安全研究員在2011年3月舉行的ICIW大會(huì) 上公布。]精髓在于明確提出網(wǎng)絡(luò)攻防過(guò)程中攻防雙方互有優(yōu)勢(shì),防守方若能阻斷/瓦解攻擊方的進(jìn)攻組織環(huán)節(jié),即是成功地挫敗對(duì)手的攻擊企圖。模型是將攻擊者的攻擊過(guò)程分解為如下七個(gè)步驟: Reconnaissance(踩點(diǎn))、Weaponization(組裝)、Delivery(投送)、Exploitation(攻擊)、Installation(植入)、C2(控制)、Actions on Objectives(收割),如下圖:
通過(guò)目前對(duì)Hacking Team RCS軟件的分析情況來(lái)看,主要通過(guò)如下三種方式入侵目標(biāo):
感染移動(dòng)介質(zhì) 與很多木馬、病毒及流氓軟件的傳播方式一樣,該軟件首先還是采取這種低成本的方式進(jìn)行,感染一些能夠接觸目標(biāo)的移動(dòng)媒體,比如CD-ROM、USB等,即便是OS 或者BIOS設(shè)置了密碼也一樣可以感染,從而獲取一些環(huán)境數(shù)據(jù),比如電腦是否可以上網(wǎng)等,為后續(xù)的動(dòng)作提供參考依據(jù)。
代理攻擊 采用軟件或硬件的系統(tǒng),能夠在網(wǎng)絡(luò)會(huì)話過(guò)程中修改和注入數(shù)據(jù),在某些情況下,可以注入到系統(tǒng)并難以被檢測(cè)到。同時(shí),也能夠感染W(wǎng)indows平臺(tái)上的可執(zhí)行文件,如果目標(biāo)電腦從網(wǎng)站上下載并執(zhí)行這些可執(zhí)行文件時(shí),Agent將在后臺(tái)自動(dòng)安裝,用戶不會(huì)知曉。
APT 如上兩種方式都無(wú)法奏效的時(shí)候,就會(huì)采用多種形式組合入侵,采用相關(guān)的漏洞、入侵工具及更多利用手段。
針對(duì)這些入侵方式,下面來(lái)分階段討論防護(hù)思路。
Detect
在這個(gè)階段,建議您將當(dāng)前IT環(huán)境中的漏洞掃描系統(tǒng)升級(jí)到最新版本后,盡快開(kāi)始對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行掃描,尤其是受此次Flash 0Day漏洞影響的業(yè)務(wù)系統(tǒng)平臺(tái)進(jìn)行一次完整的漏洞掃描。
此次事件中,綠盟威脅分析系統(tǒng)[ 綠盟威脅分析系統(tǒng)TAC,http://www.nsfocus.com.cn/products/details_22_1.html ](NSFOCUS Threat Analyze Center,TAC)即體現(xiàn)出優(yōu)越性,即通過(guò)獨(dú)創(chuàng)的靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)引擎,能夠不依賴于攻擊特征識(shí)別惡意軟件及其危害程度,率先偵測(cè)到Flash 0Day漏洞。
綠盟TAC可有效檢測(cè)通過(guò)網(wǎng)頁(yè)、電子郵件或其他在線文件共享方式進(jìn)入網(wǎng)絡(luò)的已知和未知惡意軟件,發(fā)現(xiàn)利用0day漏洞的APT攻擊行為,保護(hù)客戶網(wǎng)絡(luò)免遭利用0day漏洞等攻擊造成的各種風(fēng)險(xiǎn),如敏感信息泄露、基礎(chǔ)設(shè)施破壞等。
綠盟TAC能夠在如下兩個(gè)階段對(duì)此次事件所帶來(lái)的可能攻擊進(jìn)行檢測(cè)
Delivery階段:發(fā)現(xiàn)(detect)試圖傳輸?shù)絻?nèi)網(wǎng)的惡意軟件(文件),包括已知和未知的高級(jí)惡意軟件;
Installation階段:發(fā)現(xiàn)高級(jí)惡意軟件成功利用后,試圖從控制端下載更多惡意程序。
Deny
如果您已經(jīng)部署了綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)(Network Intrusion Prevention System,簡(jiǎn)稱NIPS[ 綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)NIPS,http://www.nsfocus.com.cn/products/details_22_3.html ]),在升級(jí)最新的升級(jí)包后,即可阻斷Flash 0Day漏洞所帶來(lái)的攻擊,并持續(xù)獲得敏感數(shù)據(jù)保護(hù)、客戶端防護(hù)、服務(wù)器非法外聯(lián)防護(hù)、僵尸網(wǎng)絡(luò)防護(hù)等多項(xiàng)防護(hù)。
請(qǐng)所有使用綠盟產(chǎn)品的用戶盡快升級(jí)。綠盟科技已在軟件升級(jí)公告中提供規(guī)則升級(jí)包,規(guī)則可以通過(guò)產(chǎn)品界面的在線升級(jí)進(jìn)行。如果您的業(yè)務(wù)系統(tǒng)暫時(shí)還無(wú)法升級(jí)規(guī)則包,那么可以在軟件升級(jí)頁(yè)面中,找到對(duì)應(yīng)的產(chǎn)品,通過(guò)下載升級(jí)包,以離線方式進(jìn)行升級(jí)。 相關(guān)信息請(qǐng)?jiān)L問(wèn)產(chǎn)品升級(jí)公告 http://update.nsfocus.com/
另外,用戶如果已部署綠盟NIPS產(chǎn)品,可以通過(guò)增加TAC防護(hù)組件的方式,使企業(yè)本地網(wǎng)絡(luò)具備未知威脅發(fā)現(xiàn)能力,并與綠盟NIPS形成聯(lián)動(dòng),在第一時(shí)間做到未知威脅檢測(cè)、攔截。
Patch
在這個(gè)階段,建議您盡快的安裝就此次泄露出來(lái)的資料庫(kù)中所包含的Flash 0Day漏洞,Adobe官方已經(jīng)修復(fù)了漏洞,并提供了升級(jí)版本,請(qǐng)廣大用戶盡快升級(jí)到最新版本。FLASH更新步驟如下:
打開(kāi)https://get.adobe.com/flashplayer/loc=cn 點(diǎn)擊立即安裝,保存安裝包,下載完成后執(zhí)行安裝文件
0Day漏洞一旦被公開(kāi),往往也是被攻擊者利用最為猖狂的時(shí)候。在此, 安全專家建議:
安裝反病毒軟件進(jìn)行全盤查殺, 并第一時(shí)間更新系統(tǒng)和Flash補(bǔ)丁推薦使用安全級(jí)別更高的獵豹, FireFox瀏覽器Chrome用戶請(qǐng)升級(jí)至最新版本(>=43)IE, Chrome用戶請(qǐng)手動(dòng)升級(jí)Flash至最新版本養(yǎng)成良好的上網(wǎng)習(xí)慣和安全意識(shí),提高內(nèi)部員工的安全意識(shí)和建立完備的監(jiān)控體系是防范APT的重要手段。建議對(duì)內(nèi)部員工開(kāi)展廣泛的安全意識(shí)培訓(xùn),避免出現(xiàn)使用弱口令、點(diǎn)擊不明來(lái)歷郵件附件、訪問(wèn)惡意網(wǎng)站等危險(xiǎn)行為。不隨意打開(kāi)陌生人通過(guò)QQ等發(fā)送的網(wǎng)頁(yè)鏈接, 不隨意打開(kāi)垃圾郵件解決方案
綠盟下一代威脅解決方案(NGTP解決解決方案),是針對(duì)APT威脅進(jìn)行檢測(cè)和防御的解決方案。NGTP解決方案聚焦APT攻擊鏈條,檢測(cè)和防御APT攻擊鏈中攻擊,潛伏和盜取三個(gè)主要環(huán)節(jié)。重點(diǎn)檢測(cè)和防御在攻擊嘗試階段,進(jìn)入后的潛伏和擴(kuò)展攻擊階段,以及最終盜取數(shù)據(jù)目的階段。
NGTP解決方案以全球威脅情報(bào)云為紐帶,以未知威脅檢測(cè)為核心,通過(guò)與傳統(tǒng)終端、網(wǎng)關(guān)設(shè)備聯(lián)動(dòng),實(shí)現(xiàn)跨廠商的威脅情報(bào)的共享,以及企業(yè)威脅態(tài)勢(shì)可視化,最終達(dá)到提升企業(yè)APT威脅防護(hù)的能力的目標(biāo)。
應(yīng)對(duì)0Day
NGTP針對(duì)0Day漏洞攻擊的解決方案,由本地沙箱TAC,威脅防御模塊IPS,綠盟安全信譽(yù)和ESPC管理等系統(tǒng)構(gòu)成。NGTP方案防御0Day漏洞攻擊的流程:
第一步:要經(jīng)過(guò)本地沙箱系統(tǒng)TAC的檢測(cè),TAC提供靜態(tài)檢測(cè)引擎和虛擬執(zhí)行引擎,對(duì)惡意軟件進(jìn)行Shellcode靜態(tài)分析,然后再進(jìn)行虛擬執(zhí)行。通過(guò)這兩步分析,從Hacking Team組織泄露的0Day攻擊軟件被識(shí)別出來(lái);
第二步:TAC檢測(cè)出惡意軟件的來(lái)源,生成信譽(yù)信息,包括文件的信譽(yù)和攻擊源IP等信息,同步到本地的安全管理中心ESPC,形成本地的信譽(yù)庫(kù);
第三步:NIPS從本地信譽(yù)庫(kù)接收到惡意軟件的信譽(yù)信息,對(duì)發(fā)起攻擊的源IP實(shí)現(xiàn)阻斷,并生成告警日志。
方案優(yōu)勢(shì)
APT威脅檢測(cè)和防御的全面性 綠盟下一代威脅解決方案,能夠全面的對(duì)APT威脅檢測(cè)和防御。無(wú)論是網(wǎng)絡(luò),Web還是郵件,終端眾多通道,都是APT威脅可能利用的通道,NGTP解決方案,不僅在網(wǎng)絡(luò)邊界進(jìn)檢測(cè)和防御,還在企業(yè)內(nèi)網(wǎng),郵件服務(wù)器,終端等多個(gè)層面進(jìn)行檢測(cè)和防御。既能夠?qū)崟r(shí)進(jìn)行檢測(cè)和阻斷,還利用大數(shù)據(jù)分析平臺(tái),進(jìn)行事后的分析和調(diào)查。
APT檢測(cè)的準(zhǔn)確性 綠盟下一代威脅解決方案,利用本地沙箱和云端安全信譽(yù),準(zhǔn)確地對(duì)APT威脅檢測(cè)和防御。本地沙箱提供了惡意軟件靜態(tài)檢測(cè)和虛擬執(zhí)行手段,檢查惡意軟件Shellcode,并且模擬真實(shí)的PC環(huán)境進(jìn)行驗(yàn)證,極大提高惡意軟件的準(zhǔn)確性;同時(shí),云端信譽(yù)提供最新的威脅情報(bào)信息,進(jìn)一步提供NGTP方案對(duì)APT威脅檢測(cè)的準(zhǔn)確性。
解決方案技術(shù)領(lǐng)先 組成NGTP解決方案的各個(gè)模塊技術(shù)先進(jìn)。TAC產(chǎn)品,是國(guó)內(nèi)最早推向市場(chǎng)的APT檢測(cè)設(shè)備,經(jīng)過(guò)幾年的不斷優(yōu)化,功能和性能得到極大提高,尤其是獲得專利技術(shù)的靜態(tài)Shellcode檢測(cè)技術(shù)和虛擬執(zhí)行檢測(cè)技術(shù),更是為APT威脅檢測(cè)的準(zhǔn)確性提供強(qiáng)力支撐。綠盟NIPS產(chǎn)品也是久負(fù)盛譽(yù),不僅在國(guó)內(nèi)市場(chǎng)上遙遙領(lǐng)先,還多次于國(guó)際權(quán)威檢測(cè)機(jī)構(gòu)得到認(rèn)可。綠盟安全威脅信譽(yù)系統(tǒng),提供最新最全的安全信譽(yù),讓NGTP方案發(fā)揮最大效能。