世界上没有任何一款软件是绝对安全的, 络安全软件也不例外。
——题记
2021年2月10日,农历腊月二十九,当所有人都已经沉浸在了放假的喜悦中时,公司的终端安全软件突然弹出一个告警窗口:补安软件(某安全软件化名)正尝试启动xx程序,是否允许?
正在收拾行李的水子哥抬头看了一眼电脑屏幕,还没来得及细看告警详情,就直接点击了允许按钮。
“应该是安装哪个补丁误告警了吧。”水子哥心想,为了让这个春节假期过得舒坦点, 络安全部这几天做了完善的补丁安装计划,针对可能被攻击者利用的脆弱点和暴露面进行修补,这会儿已经快装完了。
“等进度条100%了就撤吧。”水子哥对 络安全部的同事们说,“过去一年大家都辛苦了,老加班,黑客也不消停,明晚给大家一人发个大红包。”
“老大万岁……”
几条异常的DNS解析记录,形迹可疑
当晚九点半,绝大多数“打工人”都已经离开了写字楼,不过在奇安信安全中心,几条奇怪的DNS解析记录,吸引了美女分析师佳佳的注意。
“威胁雷达的检测模型发现了几次异常的DNS解析请求,有点不太对劲,应该是咱们的客户。”佳佳对一旁的DP师傅说。
DP凑过头来一看,说:“你在我们Alpha威胁分析平台上查一下目的IP,看看有没有恶意标记”。
“我查过了,没有标记,但是从行为来看非常可疑。保险起见的话还是应该通知销售,让他们联系客户尽快排查一下,看看是不是哪台机器中了木马。”佳佳说出了自己的担忧。
“行,不过要是真中招了,这七天假就过不安生了。”DP打趣道,顺手给负责这个客户的销售发了一条语音消息。
接到销售电话后,水子哥觉得相当郁闷,怎么偏偏刚一放假就可能出事儿了。“你们能派两个专家来现场帮忙排查一下么,争取明天上午就能有个初步结果,这大过年的我们人手不够……”水子哥小心翼翼问了一句。
“我得先和我司威胁情 中心的威胁分析师商量一下,估计问题不大。”
“那太感谢了。”水子哥回应。
紧接着,这名销售就拨通了佳佳的电话,转达了客户的需求。本来销售还有点不好意思,但还在公司排查DNS日志的佳佳倒是很痛快的应承了下来:“明天上午九点,我跟DP师傅过去看看。”
捕获攻击代码,证据确凿
“来啦,这大年三十儿的真不好意思,中午我请客。”看到佳佳和DP过来,水子哥连忙迎上去,“你们来之前,我重点在排查最近一个月的告警,目前还没有发现什么问题。”
“嗯。要不您先休息会儿吧,黑眼圈都出来了,接下来交给我们就行。”
话音未落,客户侧部署的奇安信态势感知与安全运营平台(简称NGSOC)产生告警,疑似检测到 络攻击,并且捕获到了攻击代码。
“呵,基本没跑了,威胁情 匹配显示,攻击载荷(payload)来自于海莲花组织。”佳佳看完告警信息说到。
事实上,这不是水子哥他们单位第一次遇到有关海莲花组织的告警。早在去年9月,NGSOC就已经产生过类似的告警,当时 络安全部的同事直接把攻击IP给封禁了,并没有发现有什么其他异常情况。
听完水子哥的介绍,结合NGSOC刚才的告警信息,佳佳立刻有了初步的判断:
第一,海莲花组织攻击的时间线较长,甚至可能要早于去年九月;第二,内 应该有多台办公终端被植入远控木马,需要完成定位。
考虑到应尽快拿到木马样本,佳佳决定从终端安全软件的日志开始排查,毕竟木马是直接运行在终端上的。
这一查,倒是让佳佳两人小小的意外了一下:昨天的日志显示,补安软件启动了一个未知程序,这个程序很可能就是海莲花组织植入的远控木马。
这个补安软件也是一款较为流行的桌面管理软件,水子哥他们公司主要将该软件用于补丁分发,是安全运营中非常重要的一环。这么看来,如果木马实锤了,那么海莲花组织很可能是攻破了补安软件服务端,并利用该软件下发远控木马。
顺着这条线索,佳佳很快在一台主机的C盘目录下,找到了该程序,并将其放到云沙箱运行。不一会儿,沙箱运行结果出来了。
“重大发现!”佳佳对正在排查NGSOC告警的DP师傅说,“补安软件昨天启动了木马程序。”
话音未落,一旁的水子哥瞬间不淡定了:“不是吧,就这么倒霉?”
DP师傅倒是没有接茬,而是专心分析捕获的那段攻击代码。从运行结果来看,这段代码的主要目的应该是远程修改办公终端的登录口令,但由于捕获到的代码并不完整,没有办法推断攻击者的完整意图。
好在已经发现了补安软件的异常行为,接下来应该可以通过排查补安软件服务器端的日志,尝试补全这段攻击代码。
借助NGSOC提供的海量日志关联分析能力,佳佳他们很快补全了EXP,并且还原了攻击者的入侵轨迹:海莲花组织首先攻破了补安软件的服务端,利用服务端的统一管控功能,修改部分办公终端的登录口令,向其下发木马程序。
让他们都没想到的是,分析结果显示,此次攻击最早可能发生在2020年7月中旬,海莲花组织就已经入侵了财务专用电脑,并且NGSOC已经产生告警。但由于当时安全运营人员忽略了这条告警,并且木马活动的日志也已经被删除,佳佳他们并没有发现更多有用的信息。
二十一台失陷终端,无一漏
“佳佳,这个事情你怎么看?”DP师傅不禁问到。
“用眼睛看。”佳佳打趣说,根据以往应急响应的经验,大型甲方客户的安全运营人员一天可能会收到成千上万的告警,如果缺乏有效的告警运营手段和自动化工具的辅助,其工作效率必然不会太高。为了处置看起来优先级更高的告警,部分告警往往会被忽略。
况且潜伏了这么长时间,失陷的办公终端恐怕不在少数。另外风险源头得尽快查清楚,不然下次攻击的到来估计不会太久。
说话间已到中午,水子哥自掏腰包,带着二位来到公司楼下最有牌面的饭店吃饭。
“对了,攻击IP、URL还有木马程序各个组件的特征都提取了没有,先尽快排查都哪些终端失陷了吧。”水子哥提了一嘴。
“这您放心,此次攻击所使用的失陷检测情 IOC(包括恶意IP、URL、木马程序的文件签名等)我们基本提取完了,一会儿吃完饭您更新一下终端安全软件的病毒特征库,再把所有内 终端查杀一遍。”
佳佳放下筷子,又补充了一句,“这次木马样本免杀做的不错,终端杀毒软件没有 毒也能理解。或者您不妨试试我们奇安信天擎,误 、漏 方面都能控制在非常低的水平。”
哈哈哈哈,在座的三位都笑了,这广告打的猝不及防。
吃过饭后,水子哥三人三步并作两步回到了他们单位,尽快排查所有失陷的终端:配置好新规则的终端安全软件一丝不苟地翻着每一台电脑的每一个文件夹;
另一边,佳佳则和DP师傅重点查DNS日志,看看哪些终端连接了海莲花组织所使用的IP地址和URL。双管齐下,绝不让一台被木马感染的终端漏 。
临近下午四点,21台失陷终端全部被找出。
“太感谢了。”水子哥激动地表示,“晚上就不留你们了,你们还要团年呢。另外,下午我已经把这个情况反馈给补安软件供应商了,他们说尽快排查风险。”
临走之前,佳佳给水子哥留下了一条建议,风险修复之前,先关闭补安软件服务端。至少在春节期间,影响也不大。
拉 式排查 挖出多个安全隐患
晚上8点钟,在吃完两个人的年夜饭之后,佳佳的思绪又短暂的回到了这次APT攻击上。“海莲花组织到底是利用什么方法拿下了内 补安软件服务端呢?是0day漏洞吗?还是别的什么?”种种疑问,目前尚不得知,还需要进一步的排查。
大年初一早上十点来钟,一阵急促的鞭炮声,吵醒了熟睡中的佳佳。洗漱完毕后,她拿起手机一看,大概半小时前DP师傅发来了一条信息:还没起吧?水子哥说补安软件公司的人已经到他们公司现场去排查了,问我俩有没有时间,十一点钟过去一起看看,你要是不想去的话我一个人去也行。
“正合我意!”佳佳心道,看着桌子上早已摆好的热腾腾的饺子,她迅速吃了一碗,便打车出门了。
有了补安软件供应商的帮助,这次的排查开展的相当顺利,不到两个小时的时间,佳佳他们就已经发现了一个重大漏洞:
由于某次版本更新时,程序员将一个非常重要的循环语句的返回值写错了,导致了在满足特定条件时,内 任意一台终端都可以通过访问补安软件,向另外一台终端下发指令,这与原来只允许通过服务端下发指令的设计初衷严重不负,存在非常大的安全隐患。
这意味着,黑客组织只要登录内 任意一台终端,便能向其他所有终端进行横向渗透。经版本追溯,这个漏洞已经存在了三个版本,时间跨度达半年之久,这让在场所有工作人员都吃了一惊。
“交给你们了。”DP师傅对着一旁补安软件的人说,“我们先撤了啊。”
“等等,我觉得还是不太对,就目前的系统日志分析结果而言,海莲花组织的恶意指令都是从服务端发出的,这说明他们可能没有利用这个漏洞,或者还存在其他攻击手法。”佳佳表达了自己的怀疑,并且这个怀疑很快得到了大家的认可。
顿时,众人陷入了沉思。
一番思索之后,佳佳很快将怀疑目标放在了补安软件服务端的登录凭证上。如果海莲花组织是通过已经泄露的凭证登录的,那么服务端登录日志一定有异常。
果不其然,从2020年7月上旬开始,服务端已经出现过多次异地登录,并且时间线和海莲花组织入侵时间非常吻合(2020年7月中旬,NGSOC首次记录海莲花组织此轮APT攻击告警)。
“那口令到底是怎么泄露的呢?能查出来么?”水子哥连忙问到。
“这不好说,很难查。”佳佳叹了一口气,口令泄露的方法有太多太多种,有可能是撞库攻击,有可能是你们登录口令没有经过加密存储,也有可能是谁上传到GitHub上了……”
“但眼下最重要也是最紧急的任务是,为了保险起见,尽快把集团内部重要的登录口令全部更换一遍,并且制定定期更换的规则。另外,安全软件自身的漏洞更要重视,需及时安装补丁。”佳佳说。
安全软件从来不是绝对安全的,它和比普通软件一样,也可能存在各种各样的漏洞和口令泄露的风险。并且,由于安全软件相对普通应用软件而言,系统权限较高,一旦被黑客利用危害也更大。因此,安全软件也需要安全运营工程师的常态化运营,才能最大化发挥出 络安全的效果。
——后记
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!