俄罗斯和乌克兰之间的局势正在分分秒秒发生变化,并明显威胁到网络安全环境。自紧张局势开始升级以来,已观察到数起网络攻击事件,从社交网络上的虚假信息活动,到对银行机构和政府网站的拒绝服务攻击。
鉴于此,Orange Cyberdefense的威胁研究专家给出了保护网络安全方面的专业见解,并重点介绍了在俄乌冲突形势下企业为确保网络安全所应采取的预防措施。
对于企业来说,每天监控情况、及时获取或更新相关信息非常重要。目前形势下,企业的主要工作应该是为重大网络事件做好应急预案,时刻准备从组织内外获取新的情报和漏洞、攻击或危害指标,评估其潜在影响,做出基于风险的合理决策,并迅速针对这些事件做出响应。
我们相信,针对勒索软件威胁进行过全面渗透测试的企业,能够很好地应对各种可能来自因俄罗斯和乌克兰之间冲突而蔓延的网络攻击。
我们强烈建议开发并且启动应急事件的响应流程,由训练有素的人员随时待命。如果危险程度进一步升级,这个流程的关键将是迅速做出反应。如果出现危险程度进一步提升,极可能会出现完整的攻击链、恶意软件或木马的植入、勒索软件或无线网络的感染,发生数据泄漏、DDoS、错误信息或虚假信息传播、迫在眉睫的威胁或需要紧急修补的漏洞。企业或组织内部人员需要准备好应对上述可能发生的各种情况。
此外,我们建议利用当代勒索软件威胁防御的方法来防御非特定国家级的攻击,包括以下11方面的措施:
1、识别并修补任何面向互联网的技术,特别是远程访问(如VNC、Microsoft RDP和SSH)、安全远程访问(如VPN)以及其他安全技术(如防火墙)。
2、在任何面向 Internet的身份验证接口上实现MFA
3、频繁备份业务关键资产,并辅以离线备份
▪. 通过恢复关键功能定期测试这些备份的完整性
4、端点保护和反恶意软件
▪. 测试这些解决方案并找出任何盲点
5、防御分布式拒绝服务(DDoS)
▪. 保护暴露于互联网的网络和服务免受持续的大规模DDoS攻击,这可能会切断目标网络和服务与互联网的连接。
6、网络出口过滤:配置防火墙和其他边界设备,只允许到互联网的最小出站流量,尤其是从DMZ和任何面向互联网或关键系统的出站流量。密切监控出站流量是否存在异常。
7、监控网络中的恶意活动
▪. Mitre ATT&CK矩阵是确定网络安全中是否存在盲点的良好参考。这可以帮助您找到更多需要检测的地方,例如监控常见的内置在系统程序的任何命令执行或操作。
▪. 让应急事件响应团队参与进来,因为这有助于了解应急响应分析需要收集哪些信息。
8、持续漏洞管理
▪. 根据漏洞是否已被披露,并确定漏洞的可用性来确定补丁的优先级。这适用于基础设施以及最终用户软件或设备。
▪. 必须修补具有已知漏洞并且面向互联网的服务
9、网络细分
▪. 确定信任边界,并对想要进入这些边界服务的用户实施严格控制。
▪. 最低特权概念也适用于此
10、最低特权
▪. 限制服务仅以执行其功能所需的权限运行。
▪. 确保员工只能获得执行任务所需的权限,不要给予多种权限。
11、一般威胁情报
▪. 内部团队应安排时间,确定适用于组织的威胁场景。
网络环境中充满了许多有能力的攻击者和潜在的攻击者。防御者需要洞察整个威胁环境。下面列出的预测攻击方法并非详尽无遗,但基本包括了可能使用的方法,从方法1到方法5代表攻击发生概率由高到低。
方法1:分布式拒绝服务(DDoS)
拒绝服务攻击可以采取多种技术形式,但最常见的方式是分布式拒绝服务攻击(DDoS),在这种攻击中,成千上万台机器将会对目标发起攻击,使其流量带宽大量被消耗,最终消耗所有可用带宽或资源,导致整体服务瘫痪。
▪. 高流量旨在向目标企业或机构的服务发起大量无效信息
▪. 带宽攻击能够被防火墙或IPS(入侵防御系统)这些安全基础设施和其他安全应用程序所防御
▪. 能够针对大量业务应用程序(HTTP、HTTPs、VoIP、DNS和SMTP)的攻击
▪. 边界防御通常无法抵御这些威胁
Orange Cyberdefense的观点
DDoS攻击因其相对易于实施而被广泛使用,通常由国家黑客、黑客组织和网络犯罪分子部署。各种工具和技术,包括用于出租的僵尸网络,使攻击者能够产生远远超过一般组织所能处理的流量,从而导致授权用户无法使用平台和服务。由于攻击源“分布”在多个不知情的傀儡机之间,因此受害者很难管理流量和减轻攻击。
在我们看来,仅仅保护传统的页面免受DDoS攻击是远远不够的。解决方案通常基于“流量清洗中心”的概念。清洗中心安装在互联网上,位于组织的互联网接入之前,其目的是在将受DDoS攻击污染的流发送到合法的目标IP地址之前,对其进行集中清理。
这种类型的解决方案需要将流量强制送到流量清洗中心。可以考虑两种转向策略:仅在受到攻击时转向,在这种情况下,识别攻击的时间与过滤有效的时间之间存在延迟;系统默认状态处于始终开启的状态,在这种情况下,流量将始终转发到流量清洗中心。
方法2:网络钓鱼
此攻击将涉及:
▪. 网络钓鱼以促进:凭证盗窃;恶意软件投入
▪. 通过伪造合法服务(VPN)或专门的恶意软件或服务进行远程访问
▪. 提升特权
▪. 横向移动
Orange Cyberdefense的观点
我们观察到的最简单和有效的攻击方法为:攻击者利用网络钓鱼来窃取凭据或在端点上部署恶意软件。
凭证盗窃可用于访问安全远程访问或VPN等服务,或者使用合法凭证访问依赖于远程桌面协议(RDP)的服务。
与凭证泄露相关的其他形式的攻击包括凭证暴力破解或暴力凭证填充。这种类型的攻击非常密集,可能会让防御者十分焦虑。
如上所述,网络钓鱼攻击也可以用来在受害者的机器上投放恶意软件。这些类型的网络钓鱼攻击将包括一个附件,当收件人打开该附件时,将直接导致恶意软件在主机上执行。缺少端点保护和反恶意软件的机器将直接导致攻击者远程执行代码。
获得对业务基础设施的远程访问将允许攻击者向其目标连接。攻击者可能会试图提升其获取的机器权限或窃取本地保存或缓存的凭据,从而使攻击者能够在内部网络内进行横向移动。可以使用Mimikatz等常用工具的版本来实现这一点。
攻击者将在环境中传播病毒,最终试图将自己接入到基础设施中。并且可以使用远程连接特洛伊木马或其他专门的连接工具,例如臭名昭著的Cobalt Strike 。
方法3:利用已知漏洞
国家支持的参与者,包括我们在冲突中看到的活跃参与者,擅长发现和利用尚未修补已知漏洞的系统。
▪. 主要目标是暴露于公开互联网的系统
▪. RDP和VNC等远程访问平台经常成为攻击者的目标
▪. VPN和防火墙等安全产品上的漏洞也在被积极利用
Orange Cyberdefense的观点
国家支持的黑客组织擅长发现和利用未修补的漏洞,他们拥有十分强悍的技能,以摆脱公共互联网的攻击,从而在内部网络中进行强有力的攻击并进行横向移动。
任何暴露在互联网上的系统,尤其是用来远程访问的机器和安全软件,都应该被完全修复。但美国网络安全和基础设施安全局(CISA)在1月11日的一份咨询文件中指出,一些特定的漏洞通常是黑客组织的目标。这些漏洞包括:
▪. CVE-2018-13379 FortiGate VPN
▪. CVE-2019-1653思科路由器
▪. CVE-2019-2725 Oracle WebLogic服务器
▪. CVE-2019-7609 Kibana
▪. CVE-2019-9670 Zimbra软件
▪. CVE-2019-10149 Exim简单邮件传输协议
▪. CVE-2019-11510脉冲安全
▪. CVE-2019-19781 Citrix
▪. CVE-2020-0688 Microsoft Exchange
▪. CVE-2020-4006 VMWare
▪. CVE-2020-5902 F5负载均衡漏洞
▪. CVE-2020-14882 Oracle WebLogic
▪. CVE-2021-26855 Microsoft Exchange
方法4:供应链攻击
攻击方法如下所示:
▪. 攻击目标供应商
▪. 以目标为中心,使用:网络直连;分发给目标公司或供应链的后门软件;滥用供应商目标之间的信任关系并进行网络钓鱼
Orange Cyberdefense的观点
供应链攻击是通过使用可信任的第三方获取目标的有效手段。这种类型的攻击更复杂,因为它需要多个步骤来执行,并且可能需要更长的时间。
我们假设攻击者可以访问某个组织,并且攻击者认为他们可以通过利用已建立的关系来访问目标。这一切都取决于供应链和目标存在的的关系。
供应链攻击的另一个例子涉及目标公司将使用的软件或硬件。攻击者植入恶意组件或弱化现有组件,允许其以可预测和安全的方式进行访问。攻击者面临的挑战是,这种妥协可能会蔓延到意外目标。这可能与攻击者植入的休眠组件的类型无关。如果注入破坏性恶意软件,不加区别地破坏系统,则附带损害的可能性会增加。攻击者可以实施一些技术措施来控制漏洞的影响范围,这个漏洞的影响范围取决于攻击者。
如前所述,攻击者可以使用被植入后门或木马的受害者电子邮件系统向目标发送恶意电子邮件。例如,攻击者使用现有电子邮件内容中注入一些恶意附件或链接。收信人会变得不那么警惕,更容易上当受骗。此外,攻击者还可以利用信任关系在发起网络钓鱼攻击之前收集更多情报,从而增加成功的几率。
方法5:零日漏洞
攻击者可以利用以下未知弱点进行攻击:
▪. 暴露在公共互联网的服务
▪. 网络内部的服务
▪. 浏览器
▪. 电子邮件
▪. 移动设备和应用程序
▪. 网络设备
▪. 物联网设备
Orange Cyberdefense的观点
零日漏洞很可能涉及到具有已知网络攻击历史的国家行为者。拥有多年经验、资源丰富、训练有素的团队会在事关重大的情况下,花费大量时间去发现零日漏洞。从未披露过的漏洞一般是通过技能和巧合发现的。
这种攻击方法可以作为方法1和2的一部分,但也可以作为初始入口点。任何人都无法阻止一个动机强烈、技术娴熟的攻击者利用零日漏洞。零日漏洞的类型和受影响的应用程序或设备的类型决定了零日漏洞的可用性。
电子邮件、Web应用程序等面向互联网的服务,甚至安全远程访问等安全产品的零日漏洞的利用,可能还包含潜在危险的未知漏洞。根据该漏洞的性质,攻击者可以访问主机的底层操作系统、窃取敏感信息或将该漏洞与其他漏洞进行联动,从而触发故障,导致拒绝服务。
浏览器、电子邮件客户端和消息应用程序中的“零日漏洞”特别有价值,因为这些应用程序可能通过水坑攻击或仅仅向受害者发送恶意消息而被利用。
我们应该知道,定期进行安全更新并进行完全修补的移动设备将很难被利用。所以利用移动设备进行监控很有意义。但这种零日漏洞不太可能用于大规模利用。相反,作为信息收集的一部分,它将针对特定目标。
Orange Cyberdefense已采取行动,通过以下方式保护我们的客户和运营:
▪ 启动企业范围内的应急响应流程和red team,包括我们的CERT、研究团队、漏洞检测和扫描漏洞、内部通信、内部网络安全以及来自潜在受影响国家的代表性组织。
▪. 通过我们的威胁情报分析库——观望世界、漏洞观察咨询和我们的CTI Datalake,所有相关和可操作的情报将自动分发给相关的运营团队和客户。
▪. 我们的运营团队CERT、CyberSOC、SOC、漏洞扫描和CSIRT已处于高度戒备状态,并在任何具体情报可用时进行更新。
▪. 我们将定期与相关内部团队举办简报会,提供最新信息。
▪. 在危机之前已经制定了详细的技术指南,并根据需要定期更新。
▪. 我们的详细技术“观望世界”咨询意见根据需要分发给所有客户。
▪. 通过我们的Github网站(https://github.com/Orange-Cyberdefense/russia-ukraine_IOCs),在公共互联网上共享已确认的妥协和攻击指标,作为对社区防御工作的贡献。