透過安全事件剖析黑客組織攻擊技術

語言: CN / TW / HK

安全分析與研究

專注於全球惡意軟件的分析與研究

前言

最近發生了兩起比較典型的企業被黑客組織攻擊的安全事件,事件的相關分析報告參考筆者此前發佈的兩篇文章

《針對思科被黑客攻擊事件的簡單分析》

《針對Uber被黑客攻擊事件的簡單分析》

筆者趁周未休息時間想透過這兩例企業被黑客攻擊的安全事件,跟大家深度解析一下黑客組織的一些攻擊技術,以及黑客組織是如何通過這些技術來入侵企業的,最後筆者想跟大家説的是,安全永遠是相對的,從來沒有絕對的安全,人就是企業最大的安全漏洞,針對人的攻擊,是入侵企業最好的攻擊方式,任何企業都有可能被入侵,同時全球的黑客組織都一直在尋找着下一個攻擊目標,從來沒有停止過。

防禦技術

在談黑客組織針對企業使用的一些攻擊技術之前,我想先跟大家聊一下企業現有的一些防禦技術,黑客組織往往需要入侵到企業的內網才能進行更進一步的內網橫向滲透測試之類的攻擊活動,所以針對入口點的防禦成了為企業防禦的重點之一。

現在大多數企業在入口點身份驗證的時候都會使用2FA或MFA技術,可能有一些讀者朋友們對MFA技術或2FA技術還不太瞭解,我們先來聊下啥是MFA技術或2FA技術吧。

以前黑客只需要盜取到受害者的賬號和密碼就能拿到訪問權限,這種就屬於單因素身份驗證,後來大家覺得這種單因素驗證訪問方式存在很大的安全風險,安全性不夠,黑客可以通過各種方式拿到受害者的賬號和密碼,例如通過網絡釣魚、遠控木馬、鍵盤記錄器、弱密碼暴破技術等,都可以輕易的繞過單因素身份驗證,進入企業內網,於是就推出了2FA或MFA技術,主要就是使用二重身份驗證或多重身份驗證來進行多因素身份驗證,現在比較常見的就是大家所熟知的短信驗證碼,這樣如果黑客只是拿到了受害者的帳號和密碼,是沒有辦法直接登錄企業內網的,還需要獲取到其他的身份驗證信息,包含:

(1)知識因素

例如在一些網站登錄你的賬號的時候,除了輸入用户名和密碼之外,還需要你輸入一些回答條件或密碼條件之類的這就屬於知識因素,比方你的出生年月、你的出生地址、你父母的姓名、你最喜歡的動物、你最喜歡玩的電腦遊戲、你最想去哪裏旅遊等等。

(2)擁有因素

例如一些公司會給員工發放Token令牌,這種Token令牌就屬於擁有因素,筆者以前在某公司上班的時候,每人就會發一個Token令牌卡,如果要登錄公司內部網絡,除了需要輸入帳號和密碼之外,還需要輸入Token令牌口令,這種Token令牌的方式以前在網上銀行登錄的時候經常用到或者有些網站在你第一次登錄之後,會需要你設置一個二級密鑰信息,這個二級密鑰信息也屬於擁有因素,就是你在獲取到某個權限之後給你的一種額外的身份驗證信息,比方我加入某公司或者在銀行註冊了帳户之後,給我發了一個Token令牌。

(3)固有因素

例如大家熟識的人臉識別、指紋識別、聲音識別就屬於這種固有因素,一些網站在登錄的時候不僅僅需要賬號密碼,還需要進行二次人臉識別的功能,這種就屬於利用一些固有因素進行多重驗證,同時大家在看一些科幻片的時候,都會有這樣的場景,在盜取某個大型銀行保險庫的時候,不僅僅需要帳號密碼,還需要主管人員的視網膜驗證之類的,這種生物特徵類的因素就是固有因素,這些因素是不會隨意改變的,還有一些網站在進行人臉識別的時候,還需要你做一些動作,比方張開嘴巴,左右搖頭,眨眨眼睛之類的,這種就屬於基於固有因素下的行為特徵因素,就是為了更好的進行安全驗證。

(4)位置因素

例如有些系統和應用在用户登錄的時候,會檢測登錄的用户名地理位置是否在常用位置,如果不在常用位置登錄,則會觸發相應的報警信息提醒登錄者,這種基於位置的身份驗證因素,就是位置因素。

有了上面的這些因素,企業就可以使用2FA(雙因素身份驗證)技術和MFA(多因素身份驗證)技術,2FA簡而言之就是使用兩種類型的身份驗證技術,MFA就是要提供至少兩種或兩種以上的身份驗證技術,這就意味着所有的2FA都是MFA,但並非所有MFA都是2FA,現在大多數企業的內網登錄系統都使用了2FA或MFA技術,包括現在市場上比較流行的一些“零信任”相關產品,也都大量使用這些2FA和MFA技術進行多重身份驗證,除了使用2FA和MFA多重身份驗證之外,現在的一些“零信任”產品還會使用一些內網安全策略風險報警、內網日誌審計、異常行為監控、最小權限訪問(權限管控)、AIP文件加密、業務安全訪問、持續信任評估、動態訪問控制、全局防禦等防禦技術。

雖然現在有很多企業的網站和系統都啟動了2FA或MFA,但是仍然有很多人為了方便不設置相應的2FA和MFA身份驗證,這就給黑客組織的攻擊提供了更有利的便利條件,然而即使是使用了這些2FA和MFA技術就一定安全了嗎?當然不是,黑客組織可以使用多種方式來繞過這些2AF和MFA技術,進入企業內網,然後再內網進行橫向滲透,下面筆者就給大家介紹一些黑客常用的繞過技術,來突破這些防禦手段。

攻擊技術

回顧前面的兩例企業安全攻擊事件,發現裏面都使用了繞過2FA或MFA技術,筆者給大家介紹一些常用的繞過2FA或MFA的攻擊技術。

(1)MFA疲勞攻擊技術

(2)黑客使用Evilginx等黑客工具,進行中間人截持攻擊

(3)通過暴力枚舉破解2FA或MFA身份驗證信息

(4)通過獲取Cookies信息繞過2FA身份驗證策略

(5)SIM劫持短信SMS中間人攻擊

(6)利用漏洞直接繞過2FA或MFA身份驗證策略

(7)通過釣魚、木馬和社會工程的方法

上面的幾種攻擊技術,基本可以繞過大部分2FA或MFA身份驗證策略,在思科被攻擊事件中黑客組織就是使用了MFA疲勞攻擊技術,進入企業內網,但是有時候要繞過MFA或2FA的前提是要先拿到受害者的賬號和密碼,一般的黑客組織會通過各種惡意軟件像RAT或Stealer竊密類木馬拿到受害者帳號和密碼或者直接拿到受害者的Cookies信息來進行更一步的繞過攻擊活動,例如在Uber被攻擊事件當中,國外安全研究人員在一個截圖中發現了疑似某Stealer竊密類木馬的記錄信息,很有可能是Uber的員工感染了Stealer竊密類木馬,然後黑客將竊取到的這些企業員工登錄憑證信息掛到黑客暗網網站或地下黑客論壇上進行出售,這些信息被其他黑客獲取到,然後進入了企業內網。

下面我們再詳細聊聊這幾種攻擊技術,看看黑客是如何拿到企業員工憑證繞過2FA或MFA身份驗證進入企業內網的。

(1)使用MFA疲勞攻擊技術,誘騙繞過2FA或MFA身份驗證策略,這種攻擊方式就是通過自動化腳本不斷地向受害者發送驗證信息,直到受害者不管是有意還是無意點擊接受為止,具體的攻擊手法,可以參考如下鏈接:

https://portswigger.net/daily-swig/mfa-fatigue-attacks-users-tricked-into-allowing-device-access-due-to-overload-of-push-notifications

(2)使用Evilginx等黑客工具進行實時釣魚中間人劫持攻擊,獲取2FA或MFA的登錄憑證,具體的攻擊手法,如下所示:

參考鏈接:

https://breakdev.org/evilginx-2-next-generation-of-phishing-2fa-tokens/

(3)通過暴力枚舉2FA或MFA身份驗證信息,在一些網站或系統登錄的時候,還需要輸入一個額外的驗證碼信息,可以通過抓包的方式,利用BurpSuite等工具進行暴力枚舉,獲取額外的驗證碼信息。

(4)通過獲取Cookies信息,繞過2FA或MFA身份驗證,具體的攻擊手法,可以參考如下鏈接:

https://infosecwriteups.com/bypassing-2fa-with-cookies-ff2c79022f63

黑客如何獲取受害者的Cookies的信息呢?可以使用惡意軟件,例如一些竊密類的木馬都有獲取瀏覽器Cookies信息的功能,也可以使用上面的中間人攻擊技術獲取受害者Cookies信息,在Uber的攻擊事件當中,黑客就是通過從暗網渠道購買其他黑客組織通過竊密類木馬獲取的企業員工Cookies信息,然後再進行後面的攻擊活動。

(5)SIM劫持短信SMS中間人攻擊,獲取2FA或MFA身份驗證信息,這種攻擊方式,主要通過SIM卡劫持技術對SMS短信進行中間人攻擊的方式,獲取到SMS短信信息,達到繞過2FA或MFA身份驗證。

(6)通過漏洞直接繞過2FA或MFA身份驗證策略,這種攻擊方式主要是通過應用系統以及手機應用系統等漏洞,直接繞過2FA或MFA身份驗證策略。

(7)通過釣魚、木馬和社會工程的方式拿到2FA或MFA的身份驗證信息,這種攻擊方式主要通過釣魚網站,誘騙受害者輸入2FA或MFA身份驗證信息,直接拿到受害者的2FA或MFA身份驗證,然後繞過2FA或MFA,黑客還可以通過在手機上植入木馬程序,對受害者手機的SMS短信進行截取,獲取手機短信驗證碼信息,繞過2FA或MFA身份驗證策略,另外一種攻擊方法就是黑客使用社會工程學的方式,拿到受害者的相關2FA或MFA的一些身份驗證信息,例如黑客通過社工靠近受害者,拿到受害者的指紋信息和人臉識別信息,還可以通過社工技術直接拿到受害者的短信驗證信息,這種攻擊方式在一些詐騙團伙中經常使用。

上面詳細介紹了黑客組織使用的多個攻擊技術,黑客組織在攻擊一個企業目標,進入企業內網的時候可能會使用其中一種技術,也可能會使用多個攻擊技術進行組合攻擊,層層逃過企業中的各種安全產品和安全策略。

筆者一直在跟蹤分析全球發生的最新企業安全攻擊事件,這些真實的攻擊事件的入口點,大多數還是以釣魚攻擊為主,包括各種APT攻擊活動,釣魚攻擊分為直接使用虛假網頁進行釣魚攻擊,或者通過釣魚郵件附加惡意軟件進行攻擊,釣魚攻擊的核心原理其實就是以假亂真,欺騙受害者輸入登錄信息或者點擊附件中的惡意軟件,盜取受害者的各種信息,釣魚攻擊成功的關鍵其實就是免殺,如果釣魚的虛假網站被安全產品識別並攔截或者釣魚郵件附件的惡意軟件被安全產品及時查殺了,那釣魚攻擊就基本失敗了,同時還會引起企業員工的警惕,所以免殺是釣魚攻擊成功的關鍵,同時想要釣魚攻擊成功,還需要掌握更多企業及企業員工的相關信息,這樣可以偽造各種信息進行釣魚攻擊,增大釣魚成功的機會。

釣魚攻擊也是APT組織最常用的攻擊技術之一,APT技術最核心技術,其實也是木馬免殺技術,如果黑客組織的木馬不能在企業長久的駐留,那就沒辦法開展後面的APT持續攻擊了,APT攻擊的核心其實在於P,也就是Persistent,很多人其實並不瞭解APT,也沒有理解APT真正的意義在於什麼,並不是説使用了多少高級的攻擊技巧,也不是使用了什麼高級的0day漏洞,真正的APT攻擊最核心的技術其實是免殺技術,能讓木馬後門長期駐留在企業當中,而不被企業中的各種安全產品和安全策略發現,就是最頂級的APT攻擊技術,就像SolarWinds被APT攻擊長達半年之久,才被全球各大頂級安全廠商發現,這才是最頂級的攻擊,而且從目前掌握的證據,SolarWinds APT攻擊事件並沒有發現使用什麼非常高級的0day漏洞,主要還是因為SolarWinds的後門隱蔽技術非常強,同時再加上供應鏈攻擊手法,從而逃避了全球各大頂級安全廠商的檢測。

前幾天在筆者的全球惡意軟件研究中心交流羣裏,大家在交流的時候,筆者也認為APT攻擊的核心就是免殺,免殺技術的高低和木馬駐留存活時間的長短,決定了一次APT攻擊最後的成敗,免殺技術不僅僅是木馬的靜態免殺、動態免殺,還有就是通信協議的免殺等,前期的攻擊手法可以多種多樣,包含釣魚攻擊、水坑攻擊,也可以使用各種0day/1day/Nday等漏洞,在通過這種攻擊手法入侵到企業內網之後,能不能展開後面的APT持續攻擊活動,取決於黑客組織在企業中駐留的木馬或後門免殺技術是否更隱蔽了,不然如果很快被企業發現,那可能攻擊就會被中斷,更達不到持久化監控攻擊的目的,所以筆者説APT攻擊的核心是免殺,免殺技術的研究一直是全球黑客組織最核心的技術,同時免殺木馬也是黑客組織最有效的攻擊武器,如果對APT攻擊還不太瞭解的朋友,可以去參考筆者此前寫過的一篇文章,裏面講的很清楚了。

《聊聊APT的溯源分析》

總結

黑客攻擊手法多種多樣,只要黑客弄清了企業安全產品和安全策略防禦的技術原理,就可以找到相應的攻擊手法,同樣安全研究人員只要弄清了黑客的攻擊手法和攻擊武器,就可以找到對應的防禦方案,這就是攻防對抗,有攻必有防,有防必有攻,這麼多的黑客攻擊手法當中,筆者也一直認為釣魚+社工永遠是最高級的攻擊方式,只要你前期能通過各種渠道掌握足夠多的攻擊者企業和員工相關信息,然後再針對性的對企業和員工進行釣魚+社工基本就可以成功,全球頂級的APT組織在進行攻擊的時候,也常常使用釣魚+社工的攻擊方式。

最近很火的一個概念就是零信任,然後所有的人似乎把希望寄存在零信任產品上,好像零信任就能解決企業存在的所有安全問題,其實零信任只是一個概念,它並不是指某個單個產品,零信任概念算是一種比較新的概念,然而零信任相關產品使用的技術並不是什麼最新的技術,零信任的關鍵其實是需要很強大的終端安全能力作為支撐的,不然零信任可能就真的只是一個概念,要麼就是誰也不零任,要麼就是誰都信任,就沒有意義了,零信任是一整套安全解決方案,從各種邊界防禦技術到終端安全產品和安全策略,真要落地到企業其實是需要很多基礎安全產品能力和強大的威脅情報數據去支撐的,並不是簡單的某個單一產品,零信任要走的路還很長,不過零信任理念可以作為未來企業網絡安全防護體系的重要發展方向,其實就是假設沒有攻不破的系統,打破企業默認的信任機制,持續驗證,永不信任,然而人永遠是企業最大安全漏洞所在,就像筆者在一些國外俠盜電影裏看到的,不管銀行使用多麼強的保險措施,使用怎樣的高強度的MFA因素驗證,只要攻擊相應的管理人員,逐一擊破,就可以拿到對應的權限,進入銀行的保險櫃系統,就可以達到攻擊的目的。

做安全興趣是第一要素,但是光有興趣,想做好安全也是不行的,還需要有持續不斷地堅持努力學習,不斷實踐,不斷提升自身的安全能力,做安全有時候確實很“累”,選擇做安全就是一條“不歸路”,但筆者沒有後悔選擇安全這條路,因為做安全不僅僅是筆者謀生一種手段,也是筆者最大的興趣與愛好,同時筆者一直把做安全當成自己的一種的事業來做,並不是想着做一天兩天,一年兩年賺點快錢就不做了,在筆者看來國內安全產業在未來十年可能會迎來一個新的增長期,這個期間就像大浪淘沙,真正能留下的可能是那些真正想做好安全,願意做安全的企業,國外一些安全企業都做了幾十年了,再看國內的一些安全企業,能堅持做十幾年的都很少了,此前有一些企業沒有堅持做安全,現在又回過頭來想做安全,以前一些企業因為做安全短期賺不了大錢就轉去做別的了,最近又迴歸安全的軌道上來,其實又得重頭開始,真想做好安全,其實是很難的,如果還是那種想賺一波快錢,就跑路的思想,只想趁現在安全火,短期做做安全,賺波快錢,真的沒必要再插進來做安全了,還是去做點別的更好一點,可能賺的錢更多一點,未來國內安全企業要走的路還很長,也許也會很艱難,然而做安全本身是一個長期的持續對抗艱苦奮鬥的過程,安全永遠在路上,攻與防就是矛與盾,永遠不會消亡,只有堅持不懈走下去的企業,也許才能做好安全,才能最終獲得客户的信任。

受到全球整體經濟形勢的影響,安全行業最近幾年可能會比較艱難,然而只要堅持,就有希望,同時筆者相信越是艱難的時候,越是要堅持努力,也越是能幹出事業的時候,大浪淘沙,留下的就是金子, 做人踏實一點, 格局再大一點, 眼光再 遠一點, 做安全 本身就是一個 長期堅持 ,持續對抗 的過程, 踏踏實實,只要堅持下去就一定可以做大做強,安全行業的未來一定是美好的,國內安全行業也需要一些真正持續不斷去堅持做好安全的企業。

好了,就先聊到這裏吧,安全研究包含的東西太多了,攻與防會一直存在,有空的時候再跟大家聊吧,筆者做安全的樂趣其實就是分析與研究,好玩吧了,通過分析和研究一些全球最新的安全攻擊事件以及全球黑客組織開發的最新的攻擊武器,可以更好的瞭解這些黑客組織的攻擊技術,能更好的進行安全防禦,這些攻擊武器包含各種最新的惡意軟件、漏洞和攻擊技術,筆者喜歡研究各種惡意軟件,每一款惡意軟件樣本的背後其實就是一個黑客組織或團伙,不管是勒索、挖礦、還是遠控木馬,竊密間諜類軟件都是黑客組織或團伙的成員開發的,同時這些惡意軟件可能都被應用到各種攻擊活動當中。

筆者一直從事與惡意軟件威脅情報等相關安全分析與研究工作,包含挖礦、勒索、遠控後門、僵屍網絡、加載器、APT攻擊樣本、CS木馬、Rootkit後門木馬等,涉及到多種不同的平台(Windows/Linux/Mac/Android/iOS),筆者做安全研究的興趣就是喜歡研究一些最新的惡意軟件家族樣本,跟蹤國內外報道的各種安全事件中涉及到的攻擊樣本等,通過詳細分析各種安全攻擊事件中涉及的樣本、漏洞和攻擊技巧等,可以瞭解全球黑客組織最新的攻擊技術以及攻擊活動趨勢等,同時還可以推判出他們大概準備做什麼,發起哪些攻擊活動,以及客户可能會受到什麼危害等,通過研究全球的黑客組織以及攻擊活動,做到知已知彼,各位讀者朋友如果有遇到什麼新的惡意軟件家族樣本或最新的家族變種都可以私信發給筆者,感謝給筆者提供樣本的朋友們!

做安全,不忘初心,與時俱進,方得始終!

安全分析與研究,專注於全球惡意軟件的分析與研究,追蹤全球黑客組織攻擊活動,歡迎大家關注。

王正

筆名:熊貓正正

惡意軟件研究員

長期專注於全球各種流行惡意軟件的分析與研究,深度追蹤全球黑客組織的攻擊活動,擅長各種惡意軟件逆向分析技術,具有豐富的樣本分析實戰經驗,對勒索病毒、挖礦病毒、竊密、遠控木馬、銀行木馬、僵屍網絡、APT攻擊類樣本都有深入的分析與研究

心路歷程:從一無所知的安全小白菜,到十幾年安全經驗的老白菜,安全的路還很長,一輩子只做一件事,堅持、專注,專業!