0
如果你是一名負責企業內網安全的人,下面這兩段話可能會讓你心中一緊~
對于一個職業黑客,在高級木馬激活的狀態下,他只要拿到一臺PC,就完全有能力在 30 分鐘內搞到這臺 PC 服務器的賬號和密碼,還有PC上所存儲的 IP 段和應用系統,接下來,他還可以基于 IPC 去做掃描和滲透排測,從而發現企業中的很多問題。
那如果再給黑客 60 分鐘的時間呢?
他可以繼續拿掉企業中更多帶有漏洞的服務器,比如那些使用同一賬號密碼的服務器,當多臺服務器都被他掌控于手掌中時,他就可以把更多的惡意樣本傳到這些服務器上,進行大規模攻擊。
上面這兩段話出自騰訊企業 IT 部安全運營中心的總監蔡晨之口。
▲蔡晨
作為騰訊企業內網安全的“大管家”,蔡晨每天一睜眼就要面臨 10 萬臺 PC 和 18 萬臺移動端的“安保”任務,只要一臺 PC 出問題,整個龐大的內網可能都會因此面臨嚴峻的安全挑戰。
近日,在第10屆中國云計算大會的“云計算與大數據安全專題論壇”中,蔡晨分享了騰訊企業內網所面臨的安全威脅和多年來他們所總結出的應對策略。
換句話說,這是一位擁有 13 年駕照的的老司機所傳授的“爬坑指南”,他“如數家珍”地把平常會面臨的以及踩過的坑展示出來,然后還分享了如何從坑中爬出的戰斗經驗。
堡壘最容易從內部被攻破,蔡晨把針對企業內部員工的釣魚郵件視為第一大威脅。
與廣告郵件和垃圾郵件不同,釣魚郵件往往是針對HR、財務、高管等高價值人員,這種經典的攻擊手法之所以多年來經久不衰,原因有兩點:
黑客很容易搞到目標對象的郵箱,比如 HR 的郵箱即使對于普通人而言也很容易搜到;
這種郵件可以依照目標對象的身份進行精準的投遞,比如把帶有木馬的簡歷附件直接發到 HR 的郵箱中,把名為報銷票據的附件發到財務人員的郵箱中,讓對方更容易中招。
近年來,勒索病毒是釣魚郵件的常見套路之一,據蔡晨介紹,早在 Wannacry 和 Petya 爆發之前的一年,一個名為 locky 的勒索病毒就曾嘗試攻擊過騰訊的內網。
黑客向受害者郵箱發送帶有惡意 word 文檔的郵件,word 文檔中包含有黑客精心構造的惡意宏代碼,受害者打開 word 文檔并運行宏代碼后,主機會主動連接指定的 web 服務器,下載 locky 惡意軟件到本地 Temp 目錄下,并強制執行。locky 惡意代碼被加載執行后,主動連接黑客 C&C 服務器,執行上傳本機信息,下載加密公鑰。
那時,由于勒索病毒并不普及,出現第一波的時候,各家企業還沒有做好防御的措施,導致不少企業中招。
當時在某寶上竟然還出現了公開出售 locky 解密密鑰的商店,可想而知中招的企業其實并不在少數。
此外,黑客還可以通過釣魚郵件植入比較高級的后門,一個名為“Adwind”的高級木馬家族就曾持續對騰訊進行定點的釣魚攻擊,而且針對的都是高管、財務等重要崗位,它會根據目標對象的身份而發送不同的郵件,誘使相關人員進行點擊。
雷鋒網發現,Adwind 以其很強的跨平臺適應性而聞名,而且具有多種攻擊功能,包括收集用戶鍵盤輸入內容、竊取緩存的密碼、從網頁表單中抓取數據、截屏、通過網絡攝像頭拍照和錄制視頻、通過麥克風錄音、傳輸文件、收集系統和用戶信息、竊取加密貨幣錢包密匙、管理手機短息以及竊取 VPN 證書。
據蔡晨介紹,這兩種釣魚方式其實并不只針對騰訊,但是作為國內體量最大的互聯網公司之一,他們經常是最早一波受到攻擊的企業之一,如果做不好防御措施,后果可想而知。
除釣魚郵件的攻擊外,近年來越來越盛行的軍工類高級木馬也成為重要威脅之一,而且近兩年正在走向平民化,這就猶如越來越多的平民手中也有了能造成巨大殺傷力的核武器。
相比于平常所見到的挖礦、勒索、蠕蟲類的廣譜木馬,軍工級木馬完美詮釋了什么叫“人狠話不多”,不僅隱蔽性強,而且殺傷力巨大。
蔡晨介紹,近兩年一些高價值的漏洞,甚至是一些從來沒有被公開的漏洞正在互聯網上進行開放,通過騰訊內網安全團隊與騰訊電腦管家團隊、以及安全平臺部合作進行的研究,他們發現很多對企業邊界穿透力非常強的DNS隧道木馬。
比如,去年對整個行業影響比很大的 Xshell 供應鏈式木馬。
2017年8月,NetSarang 系列軟件的關鍵網絡通信組件 nssock2.dll 被植入了惡意代碼,廠商在發布軟件時并未發現惡意代碼,并給感染組件打上了合法的數字簽名隨新版軟件包一起發布。
用戶機器一旦啟動軟件,將會加載組件中的惡意代碼,將主機的用戶信息通過特定 DGA (域名生成算法)產生的 DNS 域名傳送至黑客的遠程命令控制服務器,同時黑客的服務器會動態下發任意的惡意代碼至用戶機器執行。
這造成的后果是,一些開發人員以為他們只是從互聯網上下載了一個普通的運維工具進行軟件的開發,但一開始這個工具就是被植入過后門的,這個后門在通過 DNS 隧道進行啟發激活后,能進行遠端操控,這兩年,這種植入方式是越來越普遍。
由于該系列軟件在國內的程序員和運維開發人員中被廣泛使用,多用于管理企事業單位的重要服務器資產,所以黑客極有可能進一步竊取用戶所管理的服務器身份驗證信息,秘密入侵相關機構竊取數據。
與普通的木馬相比,軍工級木馬的啟動方式、隱藏方式、抗檢測能力都非常出眾,而且功能很全,不僅可以繞過市面上絕大多數的殺軟檢測,而且對于內網的穿透力非常強。
對于攻擊能力強,隱藏能力更強的黑客攻擊來說,擺在安全研究人員面前的第一要事是先發現它。
蔡晨告訴雷鋒網,如果跟黑客對抗,你都看不到它,那你相當于跟它不在一個維度上,它一定會打敗你,所以安全數據的“高可見”一直是他們近年來努力的方向和目標。
安全數據的高可見有兩個維度,一是數據夠不夠廣,我們會把終端、內網的所有數據,包括所有的應用系統,還有帳號類的數據全部歸結在一起,騰訊一天內網有400億規模的數據,數據類型大概200多類,你只有把這些數據放到自己的眼皮底下,才會發現黑客到底動沒動它。
還有一個維度就是數據的深度,比如,Adwind 木馬家族所開發的木馬是沒有文件的,它會直接感染到內存中,如果防御監控還停留在文件級是看不到它的,這時候需要把終端的監控下沉到進程 API 的級別,看木馬注入到哪個層面進行了 API 調用。
蔡晨介紹,這張圖是騰訊企業內部安全人員第一時間能夠看到的,包括終端、服務器、各類應用和出口的情況,這能告訴他們企業的網絡中到底發生了怎樣的安全事件。當然,這些都依賴于強大的后臺去支撐大量的數據運算和機器學習,是由大量的規則檢測模型得出的結果。
第二是遇到緊急的情況,或者是安全危機的情況下,一定要有極速處置的能力,第一時間把風險隔離掉。
當收集了大量的數據后,就要解決如何對企業安全人員形成可見效應的問題。這就像對一個廚師而言,精選的原料都備好之后,要進行加工才能實現食材的價值。
對于安全人員而言,要想第一時間發現安全事件,還要依賴于強大的后臺去支撐大量的數據運算和機器學習,即對于海量的數據進行行為分析,通過大量的規則檢測模型得出的結果。
根據分析的結果,他們會把安全事件分為高中低三個風險級別,安全人員可以有序地對這些事件進行風險的處置、隔離,或者是進一步排查,如果有必要,還要進行溯源工作。
安全如果設置了太多的門檻,會影響具體的業務進行嗎?
對于這問題,蔡晨和團隊采取了“云管云控”的戰略。
所有互聯網的員工都希望有一個輕量的客戶端在終端保護。他們在騰訊員工終端部署的安全系統上做了兩件事:一是數據的匯報,二是是云端接收和策略下發。
我們在云端分成兩朵云,一朵云是用來處理基本的策略管理和加固類策略、軟件管理策略。這些都是數據量比較輕的輕DATA,存放在公有云。
一朵云我們會把客戶端匯報的數據進行深度的分析,大數據的分析,或者平臺的一些時間窗的數據,這些數據量比較大,運算量比較大,這種胖DATA會放在私有云。
客戶端是非常瘦的形態,云是非常胖的形態,用這種方式在云端保證用戶的體驗和安全分析決策的精準性。
蔡晨告訴雷鋒網,經過十幾年的構建,他們已經做到了從5分鐘的時間可以把所需要的數據采集到云端,在15分鐘的時間內,云端就可以通過各種安全規則的分析,數據的挖掘和串聯,把風險識別出來。安全人員在30分鐘內就可以對這些風險進行處置或隔離清理。
前期的快速處置,也為他們在接下來的一兩天內留出時間來追查黑客、病毒木馬到底是怎么進來的,或者是信息是怎么泄露出去,以此再進行溯源工作,揪出幕后的黑手。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
