前言
近年来,网络安全事件频发,已涉及科技、金融、医疗、汽车、电力、化工、交通、制造业等多个行业。中国国家互联网应急中心发布的《年上半年中国互联网网络安全监测数据分析报告》显示,中国仍是网络攻击的主要受害者之一,在疫情期间遭受的网络攻击有增无减,并且持续增加。
新一代安全运营中心Next-genSOC(SecurityOperationsCenter)
现在大型的网络攻击多以有组织规模的网络杀伤链形式呈现,其步骤至少会包含信息侦察、武器(攻击脚本)准备、攻击载荷传递、漏洞利用、(病毒、后门程序)安装植入、权限获取与提升、内网横向移动、目标达成、攻击痕迹清除等。依靠传统的安全防护方式和设备已无法有效抵挡现具有规模的网络杀伤链式攻击,在越早的杀伤链环节阻止攻击,修复的成本和时间损耗就越低。传统的安全防护设备需等到攻击者获取权限,或已进入企业内网时才能发现和阻止,而此时的损失已难以估计。新一代安全运营中心Next-genSOC将能极大程度的弥补这一缺陷。
传统和新一代的安全运营中心都具有识别、调查和控制信息安全威胁的能力。但和传统意义上的SOC不同的是,Next-genSOC的核心理念是化被动防御为主动防御,并结合威胁情报、态势感知、红蓝对抗、多维度监控、自动化编排与响应、漏洞管理,并结合人工智能,大数据分析等技术手段进行可视化、自动化地监控、评估和防护数据中心、网络、终端和云端中的信息系统免受恶意攻击。
Next-genSOC非常提倡攻防结合,在不断对抗中,获得更多攻击方法,进而转化为防御手段,使安全型得以大幅度提升。攻击方法则是由大量红队(攻击)成员的经验作为输入,但是仅依靠红队成员的经验是远远不够的,同时一定程度上还需要依靠大量来自互联网的威胁情报,从而了解最新的攻击方法和动态。
威胁情报
威胁情报作为Next-genSOC的一个核心模块,也扮演着非常重要的作用。提前预知黑客动向需要极大程度的依赖威胁情报。目前被引用最多的威胁情报定义是年Gartner在《安全威胁情报服务市场指南》(MarketGuideforSecurityThreatIntelligenceService)中提出的,“威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应”。这一定义表明,威胁情报是关于威胁的信息,通过利用资源,发现威胁并指导企业行动,从而提升主动监测威胁的能力并缩短响应时间。换言之,威胁情报是用于判断外部黑客所使用的技术、攻击目标、以及快速准确的检测是否被攻击的方法。
普华永道中国在中国境内互联网上部署威胁情报平台以收集中国境内遭受网络攻击的情况,并对攻击来源、目标和攻击者行为进行分析。本文主要阐述年2月下旬至3月上旬捕捉到的发生在中国境内网络攻击情况。
攻击来源和目标分析
此时间段内,中国境内遭受网络攻击的源头主要来自境外,攻击流量绝大部分来自美国,其次分别是印度、越南、巴西和澳大利亚。这些攻击IP(InternetProtocol,网际互连协议)中九成以上已被开源情报平台标注为恶意IP或者攻击者IP,说明现在的攻击大多都是有组织规模,大多采用攻击服务器集群或者僵尸网络等方式进行,极少数为个人行为。通过威胁情报的数据,一旦平台检测到这些源IP的异常流量,即刻采取防范措施,例如禁封这些源IP。由此可见,利用威胁情报可以将许多攻击在网络杀伤链的早期通过一些手段进行防御。
该图片表示,攻击者IP来源声誉的统计
图片来源:PwC威胁情报平台
攻击者攻击频率最高的操作系统是Windows7和Windows8这些微软已经停止发放补丁且比较老的操作系统,这类操作系统有许多高危漏洞容易被攻击者利用,其中包含在年爆发的永恒之蓝漏洞(ms17-)。普华永道威胁情报平台查询到,中国境内目前暴露在互联网上的Windows7、XP等已经过时的操作系统有逾35万,而且目前用户对于补丁更新的意识也相对薄弱,给了许多攻击者可趁之机。
该图片表示,攻击者喜好攻击的操作系统版本的统计
图片来源:PwC威胁情报平台
攻击行为分析
近一个月的时间内,普华永道威胁情报平台捕捉了超过万次的攻击尝试,其中针对(SMB)端口的尝试占绝大部分,剩下的依次是针对22(SSH)端口,(HTTPS)端口,(IMAPS)端口和(MSTSC)端口,由此推测攻击者现在首先尝试的就是永恒之蓝漏洞,因为该漏洞利用简单且危害巨大;其次是尝试暴露在外网的SSH端口并进行暴力破解;第三是寻找暴露在互联网上的WEB应用服务(网站)进而尝试攻击,WEB应用也是绝大多数攻击者相对较为熟悉的应用;最后攻击者会对暴露在互联网上的邮件和Windows远程桌面尝试攻击和利用。
攻击者每天会进行大量永恒之蓝(EternalBlue)漏洞利用的尝试,该漏洞是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,利用简单且危害极大,一旦攻击者成功利用此漏洞,将会以此受害主机为跳板,进而横向移动至内网进行进一步破坏,比如敏感信息窃取、文件加密等。在中国境内,目前有超过万的端口暴露在互联网。
普华永道威胁情报平台也捕获了大量攻击者的payload(攻击载荷),该功能可以有助于进一步分析攻击者的行为,提前预防大规模危害性较大的漏洞攻击。
该图片表示,PwC威胁情报平台上捕获的大量攻击者的攻击载荷(代码)
图片来源:PwC威胁情报平台
其次,中国境内也有大量针对Linux服务器22端口SSH的暴力破解事件发生,约有超过54万次。通过开源平台的查询发现,在中国境内有超过2千万的SSH端口暴露在互联网上。
通过威胁情报平台可以准确记录攻击者高度频繁使用的密码字典,从而提醒广大企业在系统部署中避免这些口令的存在。下图分别为攻击者在这段时间内使用频率最高的用户名和密码:
该图片表示,PwC威胁情报平台上捕获的大量攻击者在暴力破解过程中使用的用户名统计
图片来源:PwC威胁情报平台
该图片表示,PwC威胁情报平台上捕获的大量攻击者在暴力破解过程中使用的密码统计
图片来源:PwC威胁情报平台
例如下图所示,在.3.1晚11点半左右,攻击者成功通过破解22端口,使用的用户名和密码:
图例:攻击者成功通过破解22端口,使用的用户名和密码
图片来源:PwC威胁情报平台
通过威胁情报平台的进一步追踪及近一个月的分析显示,这些攻击者成功破解账户之后,大多会有以下三种操作较为常见:
首先攻击者大多会通过输入相应的系统命令,了解服务器相关的信息。威胁情报平台收集到攻击者的习惯,有助于进行攻击行为关联分析。对于这类操作,传统的防护设备和方法很难检测,因为这些都属于正常系统命令,只有通过大量的威胁情报,并结合攻击前后步骤,才能更加精准捕捉实际攻击的发生。
该图片表示,PwC威胁情报平台上捕获的大量攻击者在破解成功登录一台主机后,攻击者在这台主机上执行的系统命令。
图片来源:PwC威胁情报平台
同时攻击者在成功破解账户后,会在第一时间生成一个SSH证书,使得下次可以直接使用证书登录系统,以防止系统运维人员发现后更改系统密码。系统中如果有异常的证书生成,也高度提示着系统可能已经被入侵了。
该图片表示,PwC威胁情报平台上捕获的大量攻击者在破解成功登录一台主机后,攻击者在这台主机上生成一个SSH证书。
图片来源:PwC威胁情报平台
也有众多的攻击者会在成功登录系统后,以此系统为代理,攻击或访问其他站点,在系统上如果出现有一些原本不应该产生的网络流量,即使是一些正常的网络流量,也要引起警觉,极有可能是攻击者在进行代理转发或者僵尸网络。
该图片表示,PwC威胁情报平台上捕获的大量攻击者在破解成功登录一台主机后,攻击者在这台主机上以此系统为代理,攻击或访问其他站点。
图片来源:PwC威胁情报平台
通过针对威胁情报的分析可以看出,攻击者在完成网络杀伤链最后一步获取目标前,会有许多非常隐匿且看似没有异常的操作,这些依靠传统防护设备极难被发现。一旦当攻击者万事俱备,夺取目标时,再触发告警,一切就为时已晚,甚至防护设备在成功夺取目标后都未能发觉。这源于缺少对攻击者的理解和异常行为的捕捉。所以需要大量的威胁情报来加强,普华永道中国也将会持续监控威胁情报平台,分析攻击者的攻击行为和方法,从而更高效地应对潜在威胁。
小结
在Next-genSOC中,安全人员不可能只做防御,一定需要攻防结合,才能更好地应对大规模有组织的网络杀伤链式攻击。只有更深入地了解攻击,站在攻击者的角度思考问题,才能更好地进行防御。威胁情报是了解当下众多攻击者行为一种非常有效的手段。通过将威胁情报中获取的信息和数据输入给防御人员,由防御人员进行归纳和总结,可以更有效地在网络杀伤链的每个节点进行规则分析,并进行有效阻拦,从而更好地保障各大企业免受网络攻击,后续将为大家带来Next-genSOC系列的其他内容,敬请期待。
联系我们
更多交流,请联系:
黄景深
普华永道亚太区、中国内地及香港风险及控制服务,网络安全与隐私保护服务主管合伙人
+
邮箱:kenneth.ks.wong
hk.pwc.