作者:KINGX@腾讯蓝军
一、Twitter史上最严重安全事件真相浮出水面
今年披露的网络安全事件中,上周Twitter的大规模账号入侵事件无疑是目前为止受到最广泛关注的一起安全事件。
回望刚刚过去不到一周的这起事件:7月15日,包括美国前总统奥巴马、亚马逊CEO贝佐斯、微软创始人比尔·盖茨,以及巴菲特、马斯克等人在内的大量 Twitter 意见领袖账号被盗,突然集体发送比特币钓鱼推文,诱导粉丝向黑客的比特币钱包转账。目前为止,攻击者BTC账户已经收到12.865个比特币,约合人民币80多万,并且几乎已经全部转出。
钓鱼的手法和文案非常直白:诱骗粉丝转账并承诺双倍奉还。之所以这么多人上钩,背后自然是各路大V账号的信用背书。接下来,让我们聚焦事件的关键,这些账号是如何集体被盗的。
案发后不久,Twitter Support账号滚动消息称:初步判定内部工具被恶意利用了。很多人由此会有产生疑问,Twitter员工居然可以直接使用任何用户身份发送推文?
7月18日,Twitter公布了本次大规模账号入侵事件的更多细节和初步调查结论,揭开了这起严重事件真相面纱的一角。透过这篇博文我们可以获取攻击者作案的关键手法:
显然这并不是一个单纯的外网业务安全漏洞,而是一场针对性的黑客攻击。攻击者使用社会工程学定向瞄准了多个特定的Twitter员工,这意味着攻击者可以窃取这一小批 Twitter 员工的身份凭据(身份凭据是指如:账号密码、Cookie、AccessToken、SecretKey等数据),从而以合法员工身份操作 Twitter 内部的关键系统,并且调用了只有Twitter内部支持部门才有权限使用的内部工具,访问了130个Twitter账号的信息。攻击者利用内部工具重置了其中至少45个账号的密码,登陆到目标账号发送钓鱼推文,完成攻击目标。
调查仍在继续,从目前的攻击手法看,这必然可以定性为一起APT攻击事件。在这起事件里,我们有理由相信攻击者已经潜伏了不短的一段时间,这也是一条很典型的盗用合法身份、操作内部工具达成入侵目的的攻击路径。
作为同样知名的大型互联网公司,腾讯会面临这样的安全风险吗?答案是肯定的,拥有着巨大的数字资产,腾讯在现实世界中一直是多方黑客觊觎的目标。攻击者无时无刻不在对腾讯进行扫描和渗透,想方设法进行入侵,其中不乏有与这次Twitter事件一样的APT高级攻击者。
未知攻焉知防,「腾讯蓝军」其实早在公司内部的多次红蓝对抗网络安全攻防演习中已使用过类似的攻击手法,模拟黑客的APT攻击手法核心业务,并达成攻击目标。信息安全行业中通过模拟真实的攻击手法来检验业务系统安全性、专业从事攻击的安全团队叫做 Red Team,国内称为“蓝军”。
二、如果你是黑客,你会怎样实施APT攻击
居安思危,换位思考,如果你是黑客,你会怎样实施APT攻击?这也是腾讯蓝军一直思考的问题。
我们一般将入侵行为分为两种,一种是非针对性的择弱入侵,比如挖矿、垃圾邮件、DDoS等等。它们的特点是批量和自动化,获利模式通常是基于控制大量肉鸡来构建僵尸网络。另一种入侵行为是定向APT攻击。
APT攻击的全称是高级持续性威胁(Advanced Persistent Threat),与一般“择弱入侵”不同的是,APT定向攻击的特点,决定了这是一种不顾强弱的针对性攻击,在攻击之前黑客一定会大量收集攻击目标的基本信息、制定攻击策略。Twitter案例中的“攻击目标特定员工”也是APT中常见的攻击入口之一。除此之外还有诸如物理入侵、供应链攻击、攻击线上业务等等,真实世界攻击入口之多可能远超你的想象。
1. 线上资产
线上资产是首当其冲会遭受黑客攻击的目标之一。业务网站的严重漏洞,可能直接导致黑客入侵获取服务器权限,进而入侵内网。
2. 办公环境
办公环境的自助终端机、无人值守未锁屏的PC、投放带病毒的U盘、WiFi网络等等都可能是办公环境的攻击入口,攻击者可以进一步获取员工PC控制权或者办公内网的访问权限。
3. 组织人员
人员是信息系统中最薄弱的环节,大部分的安全问题都是由于人员的疏忽或者失误导致的。通过对目标人员进行钓鱼、社工以及投放木马,定向获取关键人员的合法账号或者PC的控制权,进而利用其身份进入目标企业内网。甚至可能攻击目标人员的私人电脑、家庭WiFi、常去的咖啡厅等等防护较为薄弱的环节,进而窃取人员的敏感凭据。
4. 合作方
目标企业与其合作方之间往往有很多紧密的合作项目,网络连通权限或者访问权限都比外网要高,搞定合作方之后再向目标企业的核心业务渗透,通常比较可行。
5. 供应链
顾名思义,就是先向供应链中的产品投毒,来间接攻击目标。比如攻击常见的软件仓库、开源软件、软件安装包、下载站点、服务供应商等等,进而在这些供应链上游产品上捆绑木马,入侵目标企业内部。
攻击者突破外网边界,获取访问企业内网的入口之后,攻击活动其实才刚刚启动。稳住落脚点,攻击者开始了漫长的通往核心业务数据的道路,在攻击者面前展开的内网就像是一片充满战争迷雾的森林。对于超大型企业来说,内网有几十万甚至上百万服务器,业务核心数据存放在哪里,如何抵达核心区域,又如何去操作数据?这是攻击者需要解决的核心问题。逐个攻击内网服务器无异于大海捞针,那如何快速达成攻击目标,窃取核心业务数据、甚至操作企业资金呢?
三、数据保护
每次安全演习过程中,作为攻击方,蓝军都需要解答这个问题。
腾讯蓝军从2006年组建至今,陆续联合公司内各业务团队开展渗透测试,包括各类重要业务,发现并消除了大量潜在安全风险。从2008年以来,随着公司洋葱反入侵系统的上线,蓝军开始持续进行红蓝对抗演练,模拟黑客进行攻击,防患于未然。
2019年,腾讯蓝军特别联合公司「数据保护项目」开展了利剑专项,通过安全演习反向验证业务安全性,为核心业务把脉,提供全方位安全保障。随着多年来的轮番演习和加固,可以看到核心业务的安全水平是不断提高的,攻击的成本和门槛也不断提升。
回到前文的问题,那如何快速达成操纵核心业务数据的攻击目标?攻击者需要找到内网中关键的“灯塔”。这些“灯塔”可以是关键的人员、也可以是关键的应用系统,比如内网的集权系统,域控、邮箱服务器、代码仓库、运维系统、运营系统,或者离用户数据或资产非常近的客服系统、财务系统等等。
大型企业内网涉及到复杂的网络区域划分、业务架构和底层协议交互,在内网攻击过程中瞄准业务正常操作流程中的关键应用系统显然可以起到事半功倍的效果。纵观历年来众多内网安全演习,早期我们也尝试过直接扫描和爆破核心数据库,甚至通过修改某些数据库中的余额字段达到给自己“充钱”的演习目标。随着攻防对抗的递进,这条路已经重兵把守,攻击成本非常高,任何大动作的扫描都会引起安全系统或者业务监控数据上的告警,导致攻击行为暴露。于是攻击路径逐渐转向更加隐蔽的方式,这也是APT攻击最典型的手法:冒用合法身份操作内部工具和平台。
类似于Twitter这次安全事件中涉及的“内部工具”中的重置密码、修改用户信息等功能其实是属于业务底层的最基本逻辑,是给用户提供对应服务的。当然这些工具并不能随便调用,只有极少数核心人员或者通过对应的内部系统才有权限操作,并且也需要层层审批和审计。
所以这些业务系统和工具的安全性就至关重要了。
四、核心业务数据安全风险如何防护
内外网业务系统的安全防护离不开业务同事的共同参与,而公司内「数据保护项目」为大家提供了具体的数据安全指标和参考规范。依据腾讯蓝军多年来对公司内部和外部公司的各种安全演习对抗的实战经验,从攻击者视角看,内网各个核心业务的风险路径之间存在大量的共性。如何提升核心业务的安全水平?我们可以从以下几个方面规避风险:
1. 消除敏感信息泄露
信息搜集是攻击过程中非常重要的一个环节,内网各种系统上的信息可能会泄露各种敏感信息,包括账号密码、文档、代码等等。这些信息往往会打开攻击者通往关键系统的突破口。
2. 高危服务与组件的鉴权和管控
高危服务和组件在内网如果未加鉴权和管控,可能直接被利用获取服务器控制权。比如:Docker API、Redis、各种语言调试端口等等。
3. 增强网络隔离策略
严格的网络访问控制和隔离措施,可以有效增加攻击者接近核心数据的难度。
4. 严格的权限控制与审计
安全一个很重要的概念就是要分级管理,在大量的内网网站中,对于一些敏感网站,需要进行登录态隔离,而对敏感操作,比如涉及到资金、用户数据相关的,必须增加审批流程和二次校验。
安全是一个长期的工作,在互联网生态高速发展的现在,个人信息和数据安全越来越受到重视,安全是大型互联网公司所有业务的生命线。反入侵更是基础安全领域的重中之重,各大互联网企业无时无刻不面临着全球黑客甚至是国家队的定向攻击,一旦出现重大事件,对商业品牌会造成无法挽救的损失。我相信安全蓝军和红蓝对抗的形式会继续在旷日持久的安全战场上发挥重要作用。
相关阅读
《企业安全建设 丨 当我们在谈论推特安全事件时,我们在谈论什么?》
《网络空间安全时代的红蓝对抗建设》
《以攻促防:企业蓝军建设思考》