——暴露面/可攻击面的梳理需要更加深化和清晰。
波音事件的初始攻击入口是通过ADC网关设备的cookie漏洞来获取凭证。在传统攻击中,cookie凭证窃取并不罕见,但与本次突防一体的相关运用方式并不多见。
收敛暴露面和可攻击面一直是网络安全防御重要的基础工作,因此也更容易停留在一些浅层次的理解上。如把工作简单视为:对面向互联网侧开放服务及端口的梳理,以及类似电子邮件地址等可导致攻击投放的入口与泄露情况的梳理。但在资产广泛云化、移动办公、泛在接入的背景下,以及业务形态日趋数字化和依赖互联网的发展趋势下,在接入层面、业务层面,都会出现一系列新的暴露面,包括随着攻击方在运营商和流量侧入侵布局的能力和对网关等设备入侵能力的增强,即使是轻量级的网络访问和网络业务,也同样要做暴露面的梳理。在数字化转型和各种办公通讯应用的部署过程中,也带来了更多的API层面的暴露风险。
——攻击者对漏洞资源的利用效率远胜于防御方。
本事件用于突防的CVE-2023-4966漏洞的利用代码(POC)10月26日在Github上出现,27日攻击者宣布入侵波音成功。我们倾向攻击发生在POC代码公开后。Citrix 已于10月10日修复,但波音等机构并未进行修补。这反映出攻击者对漏洞资源的运用效率和敏感性远胜于防御方。
由于攻击者能熟练使用网络空间测绘引擎的等开源情报,并长期关注积累对重要信息目标的暴露面,因此在POC代码出现后,会有一大批攻击者快速匹配寻找可突防目标。从漏洞的角度看,此前关于0day-1day-Nday的概念,更多还是建立在漏洞发布或公开的时点上,但POC代码被公开,则更是其中需要高度关注的节点,其意味着利用难度瞬间降低,攻击活动的高峰会迅速到来。安天CERT把类似攻击称为1Exp攻击。由于RaaS+定向勒索本身又构成了一种“众筹犯罪”模型,导致关注不同目标资源或拥有目标信息资源的大量攻击者,都可能在发现机会窗口时尽可能的将机会窗口转化为实际收益。
——安全产品本身极易成为攻击突破口。
攻击者在此次事件中实现突防的ADC设备,并非单纯的应用设备,而是具有一定安全功能,且能对通过的流量进行一定安全过滤的设备。但在越来越多的类似攻击中,明确暴露出这样一个事实:安全产品(设备)或具有一定安全能力的产品(设备)其本身并非是更加安全的,其整体的设计机理都是将安全能力作用于外部环境对象或者流量对象,并未将自身作为可能被攻击者所攻击的目标来强化自身的安全特性。同时,这些产品(设备)在现实应用中,又因其带有安全功能,往往给用户带来了“其自身是安全的”的认知错觉,从而使其更容易成为攻击者的突破点。
——攻击者的关键作业点不只是最终的资产价值点。
通过本次波音事件中,从攻击者攻击带有可获取凭证能力的可攻击点,攻击内部域控节点,以获取相关凭证的活动来看,不能简单地把攻击视为一个在实现了初始突防后进行大面积内网扫描与横向移动以扩大资产价值的手段。显然,在攻击路径中存在着一些比普通可攻击主机具有更强的辅助后期攻击作用的关键节点,例如:攻陷防火墙等网关设备可以实现流量劫持和重定向,攻击域控服务器可以获取资产的登录凭证,攻击网络管理人员的节点可以获取访问服务器的跳板节点或控制权。因此,纵深防御和资源分配不应只是基于拓扑和资产分布的均匀分配,而应形成针对性、有重点的资源投放。
——基于身份+权限+访问控制的合规体系极易被突破。
统一的身份认证机制、权限管理和访问控制机制是安全合规体系的重要基石。特别是统一身份认证在支撑了安全的情况下,又带来了使用上的便利性。但波音事件攻击者较容易地进行了相关凭证和身份的窃取,之后便利用这些凭证进行攻击和横向移动。由于相关行为不是一般性的探测扫描,而本身就是基于绑定凭证的定向植入与投放,导致攻击过程中波音方面完全无感。这说明在没有有效的、细粒度的感知和敏捷闭环运营能力支撑下,身份权限机制一旦被突破,就反过来成为了攻击者的掩护,从而使攻击者在整个合规体系中畅行无阻。
——混合执行体攻击越来越普遍。
在针对波音的攻击中的工具中,包括漏洞利用工具、勒索软件,还包括开源和商用工具。在一些类似的定向勒索或APT级定向攻击中,基于攻击装备清单的梳理,往往同样有很大比例不再是传统意义上的恶意代码,而是为正常的网络管理应用目的所编写的工具或脚本,其中不乏知名的开源工具和商业产品,这些开源工具和商用产品往往都带有发布厂商的数字签名。这种组合运用多种来源执行体的攻击,安天CERT称之为混合执行体攻击。这就使攻击从早期的基于免杀的方式对主机的突防,进一步走入到可以击破反病毒引擎+可信验证的双安全系统的混合执行体攻击。防范这种攻击,简单结合反病毒引擎+可信验证,显然是颗粒度不足的。
——主机安全防护依然没有得到有效的强化。
原文始发于微信公众号(安天集团):波音遭遇勒索暴露的关基系统防御的七大问题
