先回顾下历史,看看那些历史真实的安全事件。学习别人的踩过的坑,是最高效和性价比最高的方式。
Equifax有上百人的网络安全团队,有完备的情报和应急团队,但最后还是因为一个Nday漏洞导致泄漏上亿数据,高管全部离职,赔付数亿美金。为什么你会认为你所负责的公司安全不会出类似问题?
当攻击者比你更了解你的系统、工作流程,你如何能发现并阻止这些异常?
顶尖科技公司也在网络安全上踩过坑,吃过亏。
- Cambridge Analytic 滥用 Facebook 接口采集超过 8700 万用户资料数据进行分析并出售。
- Aurora:攻击者通过使用多个可造成 RCE 的 0day 漏洞(Oracle Java/IT/Firefox),这些漏洞被植入在各类有特定访问人群的网站上(比如伊斯兰圣战),甚至通过广告精准投放给特定人群,实现访问特定网页即可感染。
- Operation Triangulation:收到一条包含附件的 iMessage 消息,无需任何交互即可触发 RCE,接着利用其它漏洞进行权限提升和维持,再下载功能齐全的恶意软件,之后删除附件和原始消息。
- 供应链攻击(SolarWinds):入侵某家大范围被使用的软件公司,控制其更新服务器,将更新包替换为存在后门的,超过 1800 个使用该软件的企业被控制。
- LockBit:通过钓鱼邮件以及 0day/Nday 漏洞(Fortinet/Citrix等)突破边界,进行感染以及自传播。通过窃取加密、威胁披露泄漏数据、DDoS等多重方式勒索赎金。
- 内鬼/入职:业内曾出现多起将公司内部查询敏感数据的权限对外出售以赚取利益,还不仅限于企业,在GA等政府单位也存在类似情况。同时还存在通过入职成为外包的方式,获取查询数据的权限,甚至将自己电脑作为跳板,直接将网络开放出去供外部访问。
- 窃取数据:2013年塔吉特公司7000万用户信息泄漏;
- 资金窃取:2016年开曼银行被入侵被窃取数十万英镑;2016年孟加拉国银行被入侵被窃取8100万美元;2016年俄罗斯央行遭黑客入侵被窃取3100万美元;2016年台湾远东国际商业银行入侵被窃取6000万美元;2017年尼泊尔亚洲银行入侵被窃取440万美元;2018年OKCoin入侵被窃取一亿美元虚拟货币;2018年墨西哥银行入侵被窃取2000万美元;国内某P2P公司业务逻辑漏洞被窃取8000万;国内某支付公司Tomcat弱口令被窃取上亿;多家银行内部研发、运维人员通过篡改应用逻辑、木马、密钥等方式窃取大额资金;
- 查看更多历史真实发生的网络安全事件
正确认识真实安全事件背后攻击者的实力
以Equation Group(方程式组织)为例,持续十多年建设网络攻击武器库,攻击并控制 30 多个国家数万名目标的设备。
- 各种形式社工钓鱼:通过邮件、聊天工具等各种形式,伪装成你信任的人,诱导你打开存在木马的链接或文件,通过对定向行业广撒网方式,控制大量电脑,并进一步潜伏。
- GrayFish(无落地执行文件):依赖 bootkit 启动,任何阶段执行失败都将启动自毁程序。运行在 Windows 注册表中,敏感信息储存在基于注册表实现的虚拟加密文件系统,并利用三方合法签名的驱动程序执行任意命令。
- Fanny/Stuxnet(连接U盘实现自我复制,实现感染和控制未联网设备):在U盘联入电脑后,通过在 .LNK 嵌入恶意代码,实现插入U盘即可自动感染所连接的电脑,即使自动运行功能关闭。同时将收集的数据存入U盘隐藏区域,一旦后续联入有互联网访问权限的电脑时,将自动上传数据到攻击者服务器,并接收新的指令,在下次插入指定机器时运行。
- GrayFish(磁盘擦除和格式化后还能存活):通过重写受感染的电脑硬盘驱动器固件,实现在你格式化或重装电脑操作系统后,还能保留恶意软件以及窃取敏感数据,并提供底层访问接口。
要知道,这是十年前的技术,管中窥豹能够知道我们所面对的对手实力。这样的对手还非常多,包括 APT28、APT29、APT32、APT33、APT34、APT37、APT1、APT3、APT10、APT41、Cobalt Group、Lazarus Group、Carbanak Group、Evil Group、The Shadow Brokers、REvil、DarkSide、Magecart、GCHQ/NCSC、Turla Group、TAO(Tailored Access Operations)、GRU(Shadworm Team)等