0
如果你是一名负责企业内网安全的人,下面这两段话可能会让你心中一紧~
对于一个职业黑客,在高级木马激活的状态下,他只要拿到一台PC,就完全有能力在 30 分钟内搞到这台 PC 服务器的账号和密码,还有PC上所存储的 IP 段和应用系统,接下来,他还可以基于 IPC 去做扫描和渗透排测,从而发现企业中的很多问题。
那如果再给黑客 60 分钟的时间呢?
他可以继续拿掉企业中更多带有漏洞的服务器,比如那些使用同一账号密码的服务器,当多台服务器都被他掌控于手掌中时,他就可以把更多的恶意样本传到这些服务器上,进行大规模攻击。
上面这两段话出自腾讯企业 IT 部安全运营中心的总监蔡晨之口。
▲蔡晨
作为腾讯企业内网安全的“大管家”,蔡晨每天一睁眼就要面临 10 万台 PC 和 18 万台移动端的“安保”任务,只要一台 PC 出问题,整个庞大的内网可能都会因此面临严峻的安全挑战。
近日,在第10届中国云计算大会的“云计算与大数据安全专题论坛”中,蔡晨分享了腾讯企业内网所面临的安全威胁和多年来他们所总结出的应对策略。
换句话说,这是一位拥有 13 年驾照的的老司机所传授的“爬坑指南”,他“如数家珍”地把平常会面临的以及踩过的坑展示出来,然后还分享了如何从坑中爬出的战斗经验。
堡垒最容易从内部被攻破,蔡晨把针对企业内部员工的钓鱼邮件视为第一大威胁。
与广告邮件和垃圾邮件不同,钓鱼邮件往往是针对HR、财务、高管等高价值人员,这种经典的攻击手法之所以多年来经久不衰,原因有两点:
黑客很容易搞到目标对象的邮箱,比如 HR 的邮箱即使对于普通人而言也很容易搜到;
这种邮件可以依照目标对象的身份进行精准的投递,比如把带有木马的简历附件直接发到 HR 的邮箱中,把名为报销票据的附件发到财务人员的邮箱中,让对方更容易中招。
近年来,勒索病毒是钓鱼邮件的常见套路之一,据蔡晨介绍,早在 Wannacry 和 Petya 爆发之前的一年,一个名为 locky 的勒索病毒就曾尝试攻击过腾讯的内网。
黑客向受害者邮箱发送带有恶意 word 文档的邮件,word 文档中包含有黑客精心构造的恶意宏代码,受害者打开 word 文档并运行宏代码后,主机会主动连接指定的 web 服务器,下载 locky 恶意软件到本地 Temp 目录下,并强制执行。locky 恶意代码被加载执行后,主动连接黑客 C&C 服务器,执行上传本机信息,下载加密公钥。
那时,由于勒索病毒并不普及,出现第一波的时候,各家企业还没有做好防御的措施,导致不少企业中招。
当时在某宝上竟然还出现了公开出售 locky 解密密钥的商店,可想而知中招的企业其实并不在少数。
此外,黑客还可以通过钓鱼邮件植入比较高级的后门,一个名为“Adwind”的高级木马家族就曾持续对腾讯进行定点的钓鱼攻击,而且针对的都是高管、财务等重要岗位,它会根据目标对象的身份而发送不同的邮件,诱使相关人员进行点击。
雷锋网发现,Adwind 以其很强的跨平台适应性而闻名,而且具有多种攻击功能,包括收集用户键盘输入内容、窃取缓存的密码、从网页表单中抓取数据、截屏、通过网络摄像头拍照和录制视频、通过麦克风录音、传输文件、收集系统和用户信息、窃取加密货币钱包密匙、管理手机短息以及窃取 VPN 证书。
据蔡晨介绍,这两种钓鱼方式其实并不只针对腾讯,但是作为国内体量最大的互联网公司之一,他们经常是最早一波受到攻击的企业之一,如果做不好防御措施,后果可想而知。
除钓鱼邮件的攻击外,近年来越来越盛行的军工类高级木马也成为重要威胁之一,而且近两年正在走向平民化,这就犹如越来越多的平民手中也有了能造成巨大杀伤力的核武器。
相比于平常所见到的挖矿、勒索、蠕虫类的广谱木马,军工级木马完美诠释了什么叫“人狠话不多”,不仅隐蔽性强,而且杀伤力巨大。
蔡晨介绍,近两年一些高价值的漏洞,甚至是一些从来没有被公开的漏洞正在互联网上进行开放,通过腾讯内网安全团队与腾讯电脑管家团队、以及安全平台部合作进行的研究,他们发现很多对企业边界穿透力非常强的DNS隧道木马。
比如,去年对整个行业影响比很大的 Xshell 供应链式木马。
2017年8月,NetSarang 系列软件的关键网络通信组件 nssock2.dll 被植入了恶意代码,厂商在发布软件时并未发现恶意代码,并给感染组件打上了合法的数字签名随新版软件包一起发布。
用户机器一旦启动软件,将会加载组件中的恶意代码,将主机的用户信息通过特定 DGA (域名生成算法)产生的 DNS 域名传送至黑客的远程命令控制服务器,同时黑客的服务器会动态下发任意的恶意代码至用户机器执行。
这造成的后果是,一些开发人员以为他们只是从互联网上下载了一个普通的运维工具进行软件的开发,但一开始这个工具就是被植入过后门的,这个后门在通过 DNS 隧道进行启发激活后,能进行远端操控,这两年,这种植入方式是越来越普遍。
由于该系列软件在国内的程序员和运维开发人员中被广泛使用,多用于管理企事业单位的重要服务器资产,所以黑客极有可能进一步窃取用户所管理的服务器身份验证信息,秘密入侵相关机构窃取数据。
与普通的木马相比,军工级木马的启动方式、隐藏方式、抗检测能力都非常出众,而且功能很全,不仅可以绕过市面上绝大多数的杀软检测,而且对于内网的穿透力非常强。
对于攻击能力强,隐藏能力更强的黑客攻击来说,摆在安全研究人员面前的第一要事是先发现它。
蔡晨告诉雷锋网,如果跟黑客对抗,你都看不到它,那你相当于跟它不在一个维度上,它一定会打败你,所以安全数据的“高可见”一直是他们近年来努力的方向和目标。
安全数据的高可见有两个维度,一是数据够不够广,我们会把终端、内网的所有数据,包括所有的应用系统,还有帐号类的数据全部归结在一起,腾讯一天内网有400亿规模的数据,数据类型大概200多类,你只有把这些数据放到自己的眼皮底下,才会发现黑客到底动没动它。
还有一个维度就是数据的深度,比如,Adwind 木马家族所开发的木马是没有文件的,它会直接感染到内存中,如果防御监控还停留在文件级是看不到它的,这时候需要把终端的监控下沉到进程 API 的级别,看木马注入到哪个层面进行了 API 调用。
蔡晨介绍,这张图是腾讯企业内部安全人员第一时间能够看到的,包括终端、服务器、各类应用和出口的情况,这能告诉他们企业的网络中到底发生了怎样的安全事件。当然,这些都依赖于强大的后台去支撑大量的数据运算和机器学习,是由大量的规则检测模型得出的结果。
第二是遇到紧急的情况,或者是安全危机的情况下,一定要有极速处置的能力,第一时间把风险隔离掉。
当收集了大量的数据后,就要解决如何对企业安全人员形成可见效应的问题。这就像对一个厨师而言,精选的原料都备好之后,要进行加工才能实现食材的价值。
对于安全人员而言,要想第一时间发现安全事件,还要依赖于强大的后台去支撑大量的数据运算和机器学习,即对于海量的数据进行行为分析,通过大量的规则检测模型得出的结果。
根据分析的结果,他们会把安全事件分为高中低三个风险级别,安全人员可以有序地对这些事件进行风险的处置、隔离,或者是进一步排查,如果有必要,还要进行溯源工作。
安全如果设置了太多的门槛,会影响具体的业务进行吗?
对于这问题,蔡晨和团队采取了“云管云控”的战略。
所有互联网的员工都希望有一个轻量的客户端在终端保护。他们在腾讯员工终端部署的安全系统上做了两件事:一是数据的汇报,二是是云端接收和策略下发。
我们在云端分成两朵云,一朵云是用来处理基本的策略管理和加固类策略、软件管理策略。这些都是数据量比较轻的轻DATA,存放在公有云。
一朵云我们会把客户端汇报的数据进行深度的分析,大数据的分析,或者平台的一些时间窗的数据,这些数据量比较大,运算量比较大,这种胖DATA会放在私有云。
客户端是非常瘦的形态,云是非常胖的形态,用这种方式在云端保证用户的体验和安全分析决策的精准性。
蔡晨告诉雷锋网,经过十几年的构建,他们已经做到了从5分钟的时间可以把所需要的数据采集到云端,在15分钟的时间内,云端就可以通过各种安全规则的分析,数据的挖掘和串联,把风险识别出来。安全人员在30分钟内就可以对这些风险进行处置或隔离清理。
前期的快速处置,也为他们在接下来的一两天内留出时间来追查黑客、病毒木马到底是怎么进来的,或者是信息是怎么泄露出去,以此再进行溯源工作,揪出幕后的黑手。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。