2021年网络安全事件中的经验教训
2022-04-04段铁兴
段铁兴
虽然SolarWinds软件供应链攻击事件已经过去一年,但我们仍在努力充分了解此类攻击的潜在破坏性。在此事件中,攻击者是十分隐秘的,最终被发现也只是因为受影响的公司之一FireEye具有监控和检测入侵的超凡能力。
了解供应商的安全状况很有必要
你也许想过:面对这种情况,我的公司是否有工具和资源来了解此类攻击是否正在发生?对此,本人的猜测是,你不仅不会意识到存在入侵行为,甚至你们中的许多人并不具备这么做的能力和资源。根据微软的说法,攻击者能够“伪造SAML令牌来模拟组织的任何现有用户和帐户,包括高特权帐户。
这件事情为我们敲响了警钟:让我们重新考虑所装软件的来源,以及重新审视对供应商及其安全流程的信任度,更不用说我们自己的安全流程了。
经验教训:与您的软件供应商一起审查他们的安全流程。寻找异常行为,尤其是在高特权帐户中,查看将凭据添加到可以执行诸如mail.read或mail.readwrite之类的操作的进程。此外,还需要阻止网络外围防火墙中的已知C2端点。
Exchange Server攻击:保护遗留系统
2021年3月,又发生了一次极具破坏性的攻击———攻击者使用零日漏洞直接攻击本地安装的Exchange服务器。微软最初表示这些攻击是有针对性的,但后来发现这些攻击更为广泛。微软还发现许多邮件服务器严重过时,很难让它们实现快速更新,微软必须为这些遗留平台准备补丁,才能确保客户安全。
2021年4月,美国司法部还针对此事宣布了一项法院授权的行动,该行动将授权FBI从美国数百台用于提供企业级电子邮件服务的Microsoft Exchange服务器中,先收集大量被攻陷的服务器,再将这些服务器上的WebShell进行拷贝,然后再删除服务器上的恶意WebShell。
经验教训:确保任何遗留服务器都受到保护。特别是本地Exchange服务器,它们更易成为目标。确保分配适当的资源来修补这些遗留系统。电子邮件是网络的关键“入口点”,一方面是攻击者可以通过电子邮件实施网络钓鱼攻击,另一方面是攻击者了解修补这些遗留服务器的难度。
此外,不要完全依赖供应商提供的威胁和风险评估。微软最初表示,这些攻击是有限的和有针对性的,但实际上它们的范围要广得多,甚至会影响到小公司。
PrintNightmare:保持打印机更新
2021年7月,Microsoft针对名为PrintNightmare的漏洞发布了带外更新。根据微软安全公告称:“当Windows Print Spooler服务不正确地执行提权文件操作时会触发远程代码执行漏洞。成功利用该漏洞的攻击者可以系统权限运行任意代码,安装程序;查看、更改或删除数据;或以完整的用户权限创建新账户。“
对于网络管理员来说,PrintNightmare已经变成了打印管理的噩梦。Print Spooler软件是老旧的NT时代代码,许多人曾敦促微软完全重写,但这会对第三方打印供应商造成重大破坏。虽说疫情大流行已经将我们从面对面打印过渡到远程打印流程,但即便是PDF打印机也需要依赖Print Spooler来部署和打印为PDF。
时至今日,安全研究人员仍在追踪当时发布的多个Print Spooler相关补丁的后续影响。2021年12月底发布的可选更新中包含对几个打印相关问题的修复。它修复了当连接到Windows打印服务器上共享的远程打印机时,Windows打印客户端可能会遇到的一些错误问题:
0x000006e4(RPC_S_CANNOT_SUPPORT)
0x0000007c(ERROR_INVALID_LEVEL)
0x00000709(ERROR_INVALID_PRINTER_NAME)
不过,考虑到这些更新的破坏性副作用,一些网络管理员选择不打补丁。
经验教训:即使在疫情大流行中,我们仍然需要打印服务。每当更新包含针对print spooler服务的修复程序时,必须在更新之前分配适当的资源进行测试。
可以使用PatchManagement.org或reddit上的Sysadmin论坛等第三方资源,来监控需要实施的解决方案,而不是选择让您的公司完全不受保护。print spooler服务只需在必须启用打印的设备和服务器上运行,其他应该禁用。
勒索软件:阻止RPC和SMB通信
进入2022年,勒索软件仍将是主要网络安全风险。它现在已被纳入网络保险政策,美国政府也已组织专家组为企业提供更多保护、信息和指导以应对这种风险。
经验教训:使用本地和网络防火墙来阻止RPC和SMB通信,这将限制横向移动以及其他攻击活动。接下来,开启防篡改功能,防止攻击者停止安全服务。然后强制执行强大、随机的本地管理员密码。此外,还建议使用本地管理员密码解决方案(LAPS)来确保您拥有随机密码。
监控事件日志的清除。具体来说,Windows会在发生这种情况时生成安全事件ID 1102。然后,需要确保面向Internet的资产拥有最新的安全更新。定期审计这些資产是否存在可疑活动。最后,确定高特权帐户的登录情况以及处于暴露状态的凭据,总之,工作站上不应存在高特权帐户。