透过安全事件剖析黑客组织攻击技术
2022-9-25 18:46:10 Author: 安全分析与研究(查看原文) 阅读量:16 收藏

安全分析与研究

专注于全球恶意软件的分析与研究

前言

最近发生了两起比较典型的企业被黑客组织攻击的安全事件,事件的相关分析报告参考笔者此前发布的两篇文章

《针对思科被黑客攻击事件的简单分析》

《针对Uber被黑客攻击事件的简单分析》

笔者趁周未休息时间想透过这两例企业被黑客攻击的安全事件,跟大家深度解析一下黑客组织的一些攻击技术,以及黑客组织是如何通过这些技术来入侵企业的,最后笔者想跟大家说的是,安全永远是相对的,从来没有绝对的安全,人就是企业最大的安全漏洞,针对人的攻击,是入侵企业最好的攻击方式,任何企业都有可能被入侵,同时全球的黑客组织都一直在寻找着下一个攻击目标,从来没有停止过。 

防御技术

在谈黑客组织针对企业使用的一些攻击技术之前,我想先跟大家聊一下企业现有的一些防御技术,黑客组织往往需要入侵到企业的内网才能进行更进一步的内网横向渗透测试之类的攻击活动,所以针对入口点的防御成了为企业防御的重点之一。

现在大多数企业在入口点身份验证的时候都会使用2FA或MFA技术,可能有一些读者朋友们对MFA技术或2FA技术还不太了解,我们先来聊下啥是MFA技术或2FA技术吧。

以前黑客只需要盗取到受害者的账号和密码就能拿到访问权限,这种就属于单因素身份验证,后来大家觉得这种单因素验证访问方式存在很大的安全风险,安全性不够,黑客可以通过各种方式拿到受害者的账号和密码,例如通过网络钓鱼、远控木马、键盘记录器、弱密码暴破技术等,都可以轻易的绕过单因素身份验证,进入企业内网,于是就推出了2FA或MFA技术,主要就是使用二重身份验证或多重身份验证来进行多因素身份验证,现在比较常见的就是大家所熟知的短信验证码,这样如果黑客只是拿到了受害者的帐号和密码,是没有办法直接登录企业内网的,还需要获取到其他的身份验证信息,包含:

(1)知识因素

例如在一些网站登录你的账号的时候,除了输入用户名和密码之外,还需要你输入一些回答条件或密码条件之类的这就属于知识因素,比方你的出生年月、你的出生地址、你父母的姓名、你最喜欢的动物、你最喜欢玩的电脑游戏、你最想去哪里旅游等等。

(2)拥有因素

例如一些公司会给员工发放Token令牌,这种Token令牌就属于拥有因素,笔者以前在某公司上班的时候,每人就会发一个Token令牌卡,如果要登录公司内部网络,除了需要输入帐号和密码之外,还需要输入Token令牌口令,这种Token令牌的方式以前在网上银行登录的时候经常用到或者有些网站在你第一次登录之后,会需要你设置一个二级密钥信息,这个二级密钥信息也属于拥有因素,就是你在获取到某个权限之后给你的一种额外的身份验证信息,比方我加入某公司或者在银行注册了帐户之后,给我发了一个Token令牌。

(3)固有因素

例如大家熟识的人脸识别、指纹识别、声音识别就属于这种固有因素,一些网站在登录的时候不仅仅需要账号密码,还需要进行二次人脸识别的功能,这种就属于利用一些固有因素进行多重验证,同时大家在看一些科幻片的时候,都会有这样的场景,在盗取某个大型银行保险库的时候,不仅仅需要帐号密码,还需要主管人员的视网膜验证之类的,这种生物特征类的因素就是固有因素,这些因素是不会随意改变的,还有一些网站在进行人脸识别的时候,还需要你做一些动作,比方张开嘴巴,左右摇头,眨眨眼睛之类的,这种就属于基于固有因素下的行为特征因素,就是为了更好的进行安全验证。

(4)位置因素

例如有些系统和应用在用户登录的时候,会检测登录的用户名地理位置是否在常用位置,如果不在常用位置登录,则会触发相应的报警信息提醒登录者,这种基于位置的身份验证因素,就是位置因素。

有了上面的这些因素,企业就可以使用2FA(双因素身份验证)技术和MFA(多因素身份验证)技术,2FA简而言之就是使用两种类型的身份验证技术,MFA就是要提供至少两种或两种以上的身份验证技术,这就意味着所有的2FA都是MFA,但并非所有MFA都是2FA,现在大多数企业的内网登录系统都使用了2FA或MFA技术,包括现在市场上比较流行的一些“零信任”相关产品,也都大量使用这些2FA和MFA技术进行多重身份验证,除了使用2FA和MFA多重身份验证之外,现在的一些“零信任”产品还会使用一些内网安全策略风险报警、内网日志审计、异常行为监控、最小权限访问(权限管控)、AIP文件加密、业务安全访问、持续信任评估、动态访问控制、全局防御等防御技术。

虽然现在有很多企业的网站和系统都启动了2FA或MFA,但是仍然有很多人为了方便不设置相应的2FA和MFA身份验证,这就给黑客组织的攻击提供了更有利的便利条件,然而即使是使用了这些2FA和MFA技术就一定安全了吗?当然不是,黑客组织可以使用多种方式来绕过这些2AF和MFA技术,进入企业内网,然后再内网进行横向渗透,下面笔者就给大家介绍一些黑客常用的绕过技术,来突破这些防御手段。

攻击技术

回顾前面的两例企业安全攻击事件,发现里面都使用了绕过2FA或MFA技术,笔者给大家介绍一些常用的绕过2FA或MFA的攻击技术。

(1)MFA疲劳攻击技术

(2)黑客使用Evilginx等黑客工具,进行中间人截持攻击

(3)通过暴力枚举破解2FA或MFA身份验证信息

(4)通过获取Cookies信息绕过2FA身份验证策略

(5)SIM劫持短信SMS中间人攻击

(6)利用漏洞直接绕过2FA或MFA身份验证策略

(7)通过钓鱼、木马和社会工程的方法

上面的几种攻击技术,基本可以绕过大部分2FA或MFA身份验证策略,在思科被攻击事件中黑客组织就是使用了MFA疲劳攻击技术,进入企业内网,但是有时候要绕过MFA或2FA的前提是要先拿到受害者的账号和密码,一般的黑客组织会通过各种恶意软件像RAT或Stealer窃密类木马拿到受害者帐号和密码或者直接拿到受害者的Cookies信息来进行更一步的绕过攻击活动,例如在Uber被攻击事件当中,国外安全研究人员在一个截图中发现了疑似某Stealer窃密类木马的记录信息,很有可能是Uber的员工感染了Stealer窃密类木马,然后黑客将窃取到的这些企业员工登录凭证信息挂到黑客暗网网站或地下黑客论坛上进行出售,这些信息被其他黑客获取到,然后进入了企业内网。

下面我们再详细聊聊这几种攻击技术,看看黑客是如何拿到企业员工凭证绕过2FA或MFA身份验证进入企业内网的。

(1)使用MFA疲劳攻击技术,诱骗绕过2FA或MFA身份验证策略,这种攻击方式就是通过自动化脚本不断地向受害者发送验证信息,直到受害者不管是有意还是无意点击接受为止,具体的攻击手法,可以参考如下链接:

https://portswigger.net/daily-swig/mfa-fatigue-attacks-users-tricked-into-allowing-device-access-due-to-overload-of-push-notifications

(2)使用Evilginx等黑客工具进行实时钓鱼中间人劫持攻击,获取2FA或MFA的登录凭证,具体的攻击手法,如下所示:

参考链接:

https://breakdev.org/evilginx-2-next-generation-of-phishing-2fa-tokens/

(3)通过暴力枚举2FA或MFA身份验证信息,在一些网站或系统登录的时候,还需要输入一个额外的验证码信息,可以通过抓包的方式,利用BurpSuite等工具进行暴力枚举,获取额外的验证码信息。

(4)通过获取Cookies信息,绕过2FA或MFA身份验证,具体的攻击手法,可以参考如下链接:

https://infosecwriteups.com/bypassing-2fa-with-cookies-ff2c79022f63

黑客如何获取受害者的Cookies的信息呢?可以使用恶意软件,例如一些窃密类的木马都有获取浏览器Cookies信息的功能,也可以使用上面的中间人攻击技术获取受害者Cookies信息,在Uber的攻击事件当中,黑客就是通过从暗网渠道购买其他黑客组织通过窃密类木马获取的企业员工Cookies信息,然后再进行后面的攻击活动。

(5)SIM劫持短信SMS中间人攻击,获取2FA或MFA身份验证信息,这种攻击方式,主要通过SIM卡劫持技术对SMS短信进行中间人攻击的方式,获取到SMS短信信息,达到绕过2FA或MFA身份验证。

(6)通过漏洞直接绕过2FA或MFA身份验证策略,这种攻击方式主要是通过应用系统以及手机应用系统等漏洞,直接绕过2FA或MFA身份验证策略。

(7)通过钓鱼、木马和社会工程的方式拿到2FA或MFA的身份验证信息,这种攻击方式主要通过钓鱼网站,诱骗受害者输入2FA或MFA身份验证信息,直接拿到受害者的2FA或MFA身份验证,然后绕过2FA或MFA,黑客还可以通过在手机上植入木马程序,对受害者手机的SMS短信进行截取,获取手机短信验证码信息,绕过2FA或MFA身份验证策略,另外一种攻击方法就是黑客使用社会工程学的方式,拿到受害者的相关2FA或MFA的一些身份验证信息,例如黑客通过社工靠近受害者,拿到受害者的指纹信息和人脸识别信息,还可以通过社工技术直接拿到受害者的短信验证信息,这种攻击方式在一些诈骗团伙中经常使用。

上面详细介绍了黑客组织使用的多个攻击技术,黑客组织在攻击一个企业目标,进入企业内网的时候可能会使用其中一种技术,也可能会使用多个攻击技术进行组合攻击,层层逃过企业中的各种安全产品和安全策略。

笔者一直在跟踪分析全球发生的最新企业安全攻击事件,这些真实的攻击事件的入口点,大多数还是以钓鱼攻击为主,包括各种APT攻击活动,钓鱼攻击分为直接使用虚假网页进行钓鱼攻击,或者通过钓鱼邮件附加恶意软件进行攻击,钓鱼攻击的核心原理其实就是以假乱真,欺骗受害者输入登录信息或者点击附件中的恶意软件,盗取受害者的各种信息,钓鱼攻击成功的关键其实就是免杀,如果钓鱼的虚假网站被安全产品识别并拦截或者钓鱼邮件附件的恶意软件被安全产品及时查杀了,那钓鱼攻击就基本失败了,同时还会引起企业员工的警惕,所以免杀是钓鱼攻击成功的关键,同时想要钓鱼攻击成功,还需要掌握更多企业及企业员工的相关信息,这样可以伪造各种信息进行钓鱼攻击,增大钓鱼成功的机会。

钓鱼攻击也是APT组织最常用的攻击技术之一,APT技术最核心技术,其实也是木马免杀技术,如果黑客组织的木马不能在企业长久的驻留,那就没办法开展后面的APT持续攻击了,APT攻击的核心其实在于P,也就是Persistent,很多人其实并不了解APT,也没有理解APT真正的意义在于什么,并不是说使用了多少高级的攻击技巧,也不是使用了什么高级的0day漏洞,真正的APT攻击最核心的技术其实是免杀技术,能让木马后门长期驻留在企业当中,而不被企业中的各种安全产品和安全策略发现,就是最顶级的APT攻击技术,就像SolarWinds被APT攻击长达半年之久,才被全球各大顶级安全厂商发现,这才是最顶级的攻击,而且从目前掌握的证据,SolarWinds APT攻击事件并没有发现使用什么非常高级的0day漏洞,主要还是因为SolarWinds的后门隐蔽技术非常强,同时再加上供应链攻击手法,从而逃避了全球各大顶级安全厂商的检测。

前几天在笔者的全球恶意软件研究中心交流群里,大家在交流的时候,笔者也认为APT攻击的核心就是免杀,免杀技术的高低和木马驻留存活时间的长短,决定了一次APT攻击最后的成败,免杀技术不仅仅是木马的静态免杀、动态免杀,还有就是通信协议的免杀等,前期的攻击手法可以多种多样,包含钓鱼攻击、水坑攻击,也可以使用各种0day/1day/Nday等漏洞,在通过这种攻击手法入侵到企业内网之后,能不能展开后面的APT持续攻击活动,取决于黑客组织在企业中驻留的木马或后门免杀技术是否更隐蔽了,不然如果很快被企业发现,那可能攻击就会被中断,更达不到持久化监控攻击的目的,所以笔者说APT攻击的核心是免杀,免杀技术的研究一直是全球黑客组织最核心的技术,同时免杀木马也是黑客组织最有效的攻击武器,如果对APT攻击还不太了解的朋友,可以去参考笔者此前写过的一篇文章,里面讲的很清楚了。

《聊聊APT的溯源分析》

总结

黑客攻击手法多种多样,只要黑客弄清了企业安全产品和安全策略防御的技术原理,就可以找到相应的攻击手法,同样安全研究人员只要弄清了黑客的攻击手法和攻击武器,就可以找到对应的防御方案,这就是攻防对抗,有攻必有防,有防必有攻,这么多的黑客攻击手法当中,笔者也一直认为钓鱼+社工永远是最高级的攻击方式,只要你前期能通过各种渠道掌握足够多的攻击者企业和员工相关信息,然后再针对性的对企业和员工进行钓鱼+社工基本就可以成功,全球顶级的APT组织在进行攻击的时候,也常常使用钓鱼+社工的攻击方式。

最近很火的一个概念就是零信任,然后所有的人似乎把希望寄存在零信任产品上,好像零信任就能解决企业存在的所有安全问题,其实零信任只是一个概念,它并不是指某个单个产品,零信任概念算是一种比较新的概念,然而零信任相关产品使用的技术并不是什么最新的技术,零信任的关键其实是需要很强大的终端安全能力作为支撑的,不然零信任可能就真的只是一个概念,要么就是谁也不零任,要么就是谁都信任,就没有意义了,零信任是一整套安全解决方案,从各种边界防御技术到终端安全产品和安全策略,真要落地到企业其实是需要很多基础安全产品能力和强大的威胁情报数据去支撑的,并不是简单的某个单一产品,零信任要走的路还很长,不过零信任理念可以作为未来企业网络安全防护体系的重要发展方向,其实就是假设没有攻不破的系统,打破企业默认的信任机制,持续验证,永不信任,然而人永远是企业最大安全漏洞所在,就像笔者在一些国外侠盗电影里看到的,不管银行使用多么强的保险措施,使用怎样的高强度的MFA因素验证,只要攻击相应的管理人员,逐一击破,就可以拿到对应的权限,进入银行的保险柜系统,就可以达到攻击的目的。

做安全兴趣是第一要素,但是光有兴趣,想做好安全也是不行的,还需要有持续不断地坚持努力学习,不断实践,不断提升自身的安全能力,做安全有时候确实很“累”,选择做安全就是一条“不归路”,但笔者没有后悔选择安全这条路,因为做安全不仅仅是笔者谋生一种手段,也是笔者最大的兴趣与爱好,同时笔者一直把做安全当成自己的一种的事业来做,并不是想着做一天两天,一年两年赚点快钱就不做了,在笔者看来国内安全产业在未来十年可能会迎来一个新的增长期,这个期间就像大浪淘沙,真正能留下的可能是那些真正想做好安全,愿意做安全的企业,国外一些安全企业都做了几十年了,再看国内的一些安全企业,能坚持做十几年的都很少了,此前有一些企业没有坚持做安全,现在又回过头来想做安全,以前一些企业因为做安全短期赚不了大钱就转去做别的了,最近又回归安全的轨道上来,其实又得重头开始,真想做好安全,其实是很难的,如果还是那种想赚一波快钱,就跑路的思想,只想趁现在安全火,短期做做安全,赚波快钱,真的没必要再插进来做安全了,还是去做点别的更好一点,可能赚的钱更多一点,未来国内安全企业要走的路还很长,也许也会很艰难,然而做安全本身是一个长期的持续对抗艰苦奋斗的过程,安全永远在路上,攻与防就是矛与盾,永远不会消亡,只有坚持不懈走下去的企业,也许才能做好安全,才能最终获得客户的信任。

受到全球整体经济形势的影响,安全行业最近几年可能会比较艰难,然而只要坚持,就有希望,同时笔者相信越是艰难的时候,越是要坚持努力,也越是能干出事业的时候,大浪淘沙,留下的就是金子,做人踏实一点,格局再大一点,眼光再远一点,做安全本身就是一个长期坚持,持续对抗的过程,踏踏实实,只要坚持下去就一定可以做大做强,安全行业的未来一定是美好的,国内安全行业也需要一些真正持续不断去坚持做好安全的企业。

好了,就先聊到这里吧,安全研究包含的东西太多了,攻与防会一直存在,有空的时候再跟大家聊吧,笔者做安全的乐趣其实就是分析与研究,好玩吧了,通过分析和研究一些全球最新的安全攻击事件以及全球黑客组织开发的最新的攻击武器,可以更好的了解这些黑客组织的攻击技术,能更好的进行安全防御,这些攻击武器包含各种最新的恶意软件、漏洞和攻击技术,笔者喜欢研究各种恶意软件,每一款恶意软件样本的背后其实就是一个黑客组织或团伙,不管是勒索、挖矿、还是远控木马,窃密间谍类软件都是黑客组织或团伙的成员开发的,同时这些恶意软件可能都被应用到各种攻击活动当中。

笔者一直从事与恶意软件威胁情报等相关安全分析与研究工作,包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等,涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS),笔者做安全研究的兴趣就是喜欢研究一些最新的恶意软件家族样本,跟踪国内外报道的各种安全事件中涉及到的攻击样本等,通过详细分析各种安全攻击事件中涉及的样本、漏洞和攻击技巧等,可以了解全球黑客组织最新的攻击技术以及攻击活动趋势等,同时还可以推判出他们大概准备做什么,发起哪些攻击活动,以及客户可能会受到什么危害等,通过研究全球的黑客组织以及攻击活动,做到知已知彼,各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者,感谢给笔者提供样本的朋友们!

做安全,不忘初心,与时俱进,方得始终!

安全分析与研究,专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动,欢迎大家关注。

王正

笔名:熊猫正正

恶意软件研究员

长期专注于全球各种流行恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究

心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,安全的路还很长,一辈子只做一件事,坚持、专注,专业!


文章来源: http://mp.weixin.qq.com/s?__biz=MzA4ODEyODA3MQ==&mid=2247487545&idx=1&sn=414682781f8583da4c18fb043ecb0ef0&chksm=902fbf11a75836071d9bc99dac70602b58d59539c821173d3765e550b1e69b23a59c44af8048#rd
如有侵权请联系:admin#unsafe.sh