穷则社工钓鱼,达则0day炸场。你要还抱着“谁舍得用0day打我“这种幻想的防守方,可能在第一天就被薅到秃顶。
攻击者有三宝:供应链、0day和(社工)钓鱼。但供应链攻击最后部分也落到0day,所以在突破边界方面,攻击者最常用手段大部分时候其实只有两个:社工钓鱼和0day。
宣称能检测0day的产品有很多,但能证明的没几个。
8月,仅微步就收到950+漏洞。经微步研究响应中心验证,真实存在的漏洞300+个,其中0day/1day有100+。仅微步威胁感知平台TDP在用户现场就检出了70+起0day攻击事件。
我们从8月发生的100多起0day攻击案例中挑选出较为典型的两起事件,还原攻击过程、分析威胁根因及处置办法,供大家参考。
案例 1
被遗漏的0day报警
“蜜罐被踩了!”一声惊呼,原本安静的监测室内瞬间炸了。安全团队立即开始紧急排查。踩蜜罐的主机是蜜罐同网段的主机,登上去看没有什么异常,查看SSH日志,近期被免密登录过,除了这点也没有任何异常。
一柄如利剑一样的问题悬在安全团队所有人头上——“攻击者到底是怎么进来的?”
“溯源组追查SSH登录来源。其他人查看安全设备12小时内的告警日志。“AB企业负责人老K(化名)下达了最新指令,并抬头看了看墙上的时钟——17点23分。
很快反馈回来了,所有安全设备反馈都没有看到异常,蜜罐反倒像个离经叛道说谎的孩子一样无法证明自己。
“没有看到异常”这句话像一个魔咒,劝说着老K放弃追查,“说不定是哪个业务的误触呢”,老K心里说,”不对不对不对”他身外化身另一个自己努力劝说自己对抗那个魔咒。
2小时后,8月12日晚19时52分:
“找到了,最先发起的是ActiveMQ服务器。”负责追查SSH的一队成员终于追溯到了发起SSH登录的源头。
“联系业务问问,可能是他们的操作。”老K瞬间抱住最后一丝希望。他知道那台服务器,那台服务器上只有一个ActiveMQ。
他清晰地记得当时他要求收敛,但出于业务要求,ActiveMQ服务需对外网开放。在进行收敛时,业务按安全团队要求,将管理控制台收回内网,且只能内网访问,只是开放了61616端口,因为无法完全收敛。安全团队要求白名单访问,被业务拒绝。而ActiveMQ历史上的61616端口很少有漏洞,安全团队退而求其次,要求打开权限校验,且必须使用强密码。这里不可能是突破点。
“业务说他没有登录过。”处置团队反馈说。
听到这个答案,有点让人绝望,老K感到疲倦,头昏沉沉的,口干舌燥。
“找到了!是从ActiveMQ打进来的!”安全团队另一成员大G(化名)突兀的声音在监测室响起。
老K像打了一剂强心针,瞬间弹起,冲向大G的座位,然后被电脑屏幕上的红色高亮字体吸引:“攻击成功……ActiveMQ远程代码执行!”
安全设备显示的0day攻击告警详情,告警时间为下午13点49分42秒,老K看见这个时间,一阵气急,忍不住来了句国粹,然后问:“这是什么设备,为什么没人看!”
监测室内,包括驻场在内的所有成员都面面相觑,最后还是大G小声解释:“这是微步的TDP,是临时上的。咱们请的团队是O厂的……”
原来,O厂也有自己的全流量设备,由于这次任务O厂人手紧张,所以驻场同学就只盯了自家的全流量设备,虽然也分配了监控任务但基本不看TDP……
攻防对抗的核心就是信息差。而0day是最好的信息差。ActiveMQ如果能开白名单,或者如果监控TDP,排查所有安全设备,也能及时通过TDP的0day预警发现安全威胁,结果可能都会不一样。
所以,了解自身薄弱面很重要,正确使用防护设备,把合适的安全设备以合适的方式用起来也很重要。
案例 2
事前情报能阻挡0day攻击吗
老A(化名),BC企业网络安全负责人,拥有8年网安工作经验,多次参与各种规模的攻防演习,对整个流程非常熟悉。
在接到通知后不久,BC企业就完成了攻击面收敛:能关闭的端口都关闭了,能下线的应用都下线了,能收敛的框架也都收敛了。扫描器、测绘、HIDS……轮番轰炸、360度无死角扫了好几次。又要求业务线最近不要上线,紧急上线必须走安全审计。甚至半个月内,还连续进行了两次红队评估服务……
“稳了!只要我收敛得够全、够难啃,那红队就会去找别人。”但没过两天,老A的幻想就被现实击碎了。
8月11日下午15时许,正准备来罐红牛提提神的老A听到一声惊雷:“有0day攻击!赶紧封!”
老A扔下红牛,快速来到小Z(化名)身旁,看着屏幕上“攻击成功”字样,一阵恍惚。
TDP告警显示,攻击者通过禅道漏洞发起攻击,且攻击成功。禅道漏洞?禅道?老A瞬间回过神来:“不可能,绝对不可能!”
前两天就听说禅道存在0day,所以把禅道都收进内网了,怎么可能还有暴露在外网的,还攻击成功了?肯定是误报。
“先把这台服务器下线,处置组联系业务问问,这台机器上有禅道吗?”小心驶得万年船,老A又迅速下达一串指令:“联系微步确认是不是误报;另外,把这个攻击IP封禁,查一下这个IP还做了什么。”
“已经封了,这个IP没有任何历史记录,是个非常干净的IP。”某厂安服小哥说。
“有没有扫描?访问呢?就只一个攻击包吗?”老A再次确认。
“没有,什么都没有,特别干净,直接就一个包打过来的。”安服小哥迅速在电脑上再次查询后说。
“那应该是误报了”,老A心里说。
“微步反馈说不是误报,确认是攻击,而且攻击成功了。” 安全团队的小Z也收到了回复。
“业务说确实是用了禅道,他们自己做了魔改,咱们漏了。”处置组那边反馈。
最后发现攻击者探测时用的是其他IP,确定了禅道指纹后,并没有轻举妄动,而是用没有任何记录的干净IP,目标直奔目标服务器,希望一击毙命。没想到被TDP抓住了,阻击了这次攻击。
这就是事前获取0day情报的重要之处。面临毫无征兆的0day攻击时,如果能提早收到相关0day的信息,比如禅道漏洞的详细信息并将检测更新到TDP等产品中,在其他安全设备毫无告警的情况下,才能凭借领先的情报优势,在攻击中求生存。
人无我有,人有我新,有时候就是一种绝对优势。
这是100多个0day攻击案例中比较典型的两起0day攻击事件。0day可能是未来3-5年内我们面对的主要威胁之一。针对0day,TDP通过将领先的漏洞情报优势、规则、模型、机器学习等技术相结合,为企业安全建设与运营提供了一种新的检测能力和解决方案。目前,TDP已经在诸多行业头部企业落地实践,并收获一致好评。经长期实践证明,即使遭遇高隐蔽的0day漏洞攻击,TDP的0day检出率可达81%以上。
TDP可能就是下一次你面对0day攻击,进退有度,布局得宜的底气所在。
