第三方软件漏洞才是企业真正威胁

评论
6 views

2009腾讯安全技术峰会上的讲话稿。

 

以下是演讲实录:

方勇:很荣幸能参与到这个会议里面,和大家一起讨论与办公网安全相关的话题。首先自我介绍一下,我是迅雷安全中心经理方勇,我们的安全团队主要负责迅雷的一些产品和业务的安全、服务安全以及办公网安全这三大块。

黑客要进入我们办公网,首先是踩点,然后是钓鱼,钓鱼不成就开始人肉,如果他进入这个网络会采取一些渗透手段,找到他想要的东西的时候他会有一个收获的过程,会把他想要的东西拿走、想做的事情做了。

首先我们看一下踩点,一般的通道是收集企业员工的信息,比如通过一些邮箱、SNS、邮件列表,因为我想很多企业的员工会以企业的邮箱在互联网上参加一些比如论坛或者是邮件列表的交流,这其实是挺容易被收集到的。

攻击方式就是一些常用的搜索引擎和官方网站。工具是theHarvester等等。这个脚本可以很快地获得微软收件人的联系方式(图),所以他的攻击成本相当低。

我们看一下如何应对踩点攻击,首先我们要加强招聘和客服平台的建设。对员工特别是一些窗口部门,比如客服、招聘这些部门进行安全教育。同时我们可以建立一些安全制度来监督。

第二个环节是钓鱼,钓鱼这个词可能大家也听得比较多,我这里说的钓鱼其实是一个狭义的钓鱼,是指专门针对办公网的钓鱼,而不是指广义的钓鱼,我们这里下的定义是通过各种各样的方法,让我们的目标执行我们的任务,比如打开一个文档、访问一个网站之类的。它的分类主要有两个,第一是以0day漏洞见长,鱼哪怕稍微碰一下鱼钩,就立即上钩。第二种是社会工程,这种是相对多的,比如黑客可以花比较多的时间去哄一个客服人员。主要攻击方式还是邮件。

这里是一个钓鱼行为研究。比如发一个邮件,在附件里面黏上一个exe文件,在座的肯定不会去打开点这个文件,但是作为客服和招聘人员,他们可能有一些自身压力或者是各方面的原因,他们可能会考虑打开这个文件,结果就是他被中了一个木马。

作为一个入侵者,他在钓鱼过程中可能会考虑这四个问题,第一是选好钓位,他要找准一个合适的切入点,比如他到底是钓一个技术人员还是钓一个非技术人员;第二是选准钓饵,用什么方法,比如尝试给一个客服人员反馈一个程序的崩溃信息,或者是打开一个简历。备好钓具,比如改一下后缀。最后钓技其实也是很关键的,他如何想办法让被受攻击的人去执行他的文件。

钓鱼行为的特征,主要是骗,各种各样的欺骗手段。另外一个很明显的特征就是会有一些很明显的附件,让被攻击人去执行。这种攻击有两种选择,第一种是哄、骗,他可能会花比较长的时间;第二种是0day的后门、0day的漏洞,只要稍微预览一下就会中招。

如何应对钓鱼攻击,盯紧邮件服务器,邮件服务器是企业和外界沟通的大门口,有比较好的邮件杀毒引擎,杀毒引擎作为钓鱼者来说他在发送一个攻击程序或者木马的时候他会先到杀毒软件自己检查一遍,看能不能杀自己,所以有些杀毒软件能解决一部分问题,但是不能解决所有问题。

另外一个更关键的是我们要监控用户登录异常行为。比如我们可以考虑监控有一个IP,比如我们发现一个账号很多时间是在某几个IP登录的,但他今天在另外一个IP成功登录这时候我会考虑发一个邮件报告一下这个帐户可能被黑了。这样可以检查一下登录情况,因为没有受到攻击的话这条曲线是相对规律的。

杀毒其实有很多个地方,可以是邮件的,也可以在终端上、在网关上。在终端杀毒好处就是在一些相当大规模的企业里面不会造成故障,因为杀毒如果在网关的话,它会产生故障问题,严重情况下可能会导致整个办公网无法上网,但终端杀毒有自己不好的地方,就是它对用户的影响是相对比较大的,比如我们现在卡巴斯基,它是口碑相对比较好的杀毒软件,但问题它太占用系统资源了。其实最好的方式就是如果可以的话终端杀毒和网关杀毒结合起来,用不同的杀毒软件。

另外就是打补丁,这三个大家都挺熟悉的,但是做得好和做得坏还是有区别。首先是打Windows系统补丁。我想强调一下我们要如何打第三方软件的补丁,这对安全人员来说是一个挑战。

我们看一下这个图,这是微软前段时间发的一个安全报告里面一个截图,我们可以看到蓝色的线都是微软的漏洞(图),红色的线全是第三方软件的,比如Real Play,还有Ipod等等播放器的漏洞,可以看到第三方的大概占了小一半。但是蓝色部分也就是微软的漏洞是相对更容易修复的。

第三方软件的漏洞才是真正威胁我们的地方。

这个话题再延展一下,可以讨论一下桌面接入控制系统,商业的有很多,比如H3C、北信源、联软、Symantec等等,但是他们无法检测第三方漏洞。作为钓鱼的人来说他一般会考虑用微软的漏洞,但更多会考虑用第三方软件的漏洞,因为打补丁比较慢。

另外就是装这些商业的系统都需要在用户端上装一些软件,它可能会带来一些性能方面的问题。同时还会有私隐的问题,比如它有没有监控到一些输入之类的,这可能是员工会考虑的。同时它还有兼容的问题,我相信做客户端的企业大家可能都会面临兼容器的问题,因为互联网用户桌面上的软件是各种各样的,要很好地彼此兼容是一个难度挺高的事情。

我们的建议是可以考虑自己DIY一个桌面接入控制系统,目标是尽量小的影响用户桌面系统,给用户尽量好的用户体验。为什么目标是这个呢?因为这样我们的员工、我们的受众就不会有很强的抵触情绪,如果他们有很强的抵触情绪的话,其实我们这个接入控制系统是很难布下去的,会有很多阻力。

可以考虑使用Linux+Active加第三方补丁系统来完成。我们的同事只需要装一个控件就可以完全所有的安全检查,它的好处是我们的同事心里面会稍微好接受一点,毕竟只有一个控件。我们和“超级巡警”合作,利用他们的漏洞检查引擎来实施微软的补丁和第三方漏洞补丁的检查。

然后我们看下一步就是“人肉”,这是我给它起的名词,什么叫“人肉”呢?这个黑客来到企业附近对这个企业进行攻击,而不是直接通过互联网对这个企业进行攻击,大部分企业都有无线接入点。一旦黑客窃取了这个密码,就可以直接访问我们的办公网络。另外它也可以通过流氓AP进行攻击,他偷偷进这个公司,然后拿了一个无线AP,拿一个密码,在附近就可以通过这个AP直接进入到被攻击公司。其实整个过程很简单,只要这个企业的保安或者是员工的安全防御意识不是太强,无非就是走邻居,拉根网线,整个过程可能都不用五分钟,而且没有任何的技术难度。

直接物理攻击。这是相对极端的一个现象,但是据我知道的消息,我问过一些黑客界的,他们其实有好些人是在用这个手段的,因为这个手段跟相对于上面我说的流氓AP更简单、更省事,而且风险也相对低很多,他应聘某一个岗位,然后正大光明地进入这个企业内部,他可以正大光明在里面扫描、中木马,然后三个月试用期走人,这都是有的,主要是考虑成本,他与其在网上用各种各样的东西,还不如直接走一趟。

看看如何应对“人肉”攻击,首先管好无线,比如Radius、证书等等,无线用户使用独立的网络,不接入办公网。所有无线用户接进来都只能看到自己,不能攻击旁边的人,也不能攻击办公网络。

防止流氓AP,其实是两类,一类是我们刚才讲的黑客安装,黑客偷偷跑进来安装一个AP,另外是员工实质装的AP,因为我们发现这种情况,员工可能觉得公司提供的信号不是很好,他自己带个AP接到网络里面,我们需要通过一些制度、通过一些技术手段,比如MAC地址检测。另外对付直接“人肉”的就是做好应聘人员的背景调查。应聘人员的背景调查,一般的人他不会随便实施“人肉”攻击,因为如果他实施“人肉”攻击他之前的工作背景是相对模糊的,比如上一天或者上两年他的工作经历里面可能会包含一些欺骗成分。

前面我们讲了三个环节,刚才卢总也说了2.6亿的市场谁不想在这里分一口,如果我们前面用了不好的防御手段,黑客总会进来的。

我们看一下美国电网,这是前段时间的新闻,大家看红线部分,这是一个相当安全敏感的机构,墨菲定律:如果它能够被黑客攻破,它就将被攻破。对于一个黑客来说,它要黑一个企业,仅仅是时间上的问题,总之是成本上的问题,如果有人支持他,比如有个集团在支持他,比如有个盗号集团在支持他,他说我给你一年时间你把这个企业黑了,我给你多少钱。一年时间我相信只要他有这个毅力,基本上在座的公司逃不过这一劫。所以我们可以考虑毛主席的思想:开展敌后游击战。先把敌人放进来,前期我们做一些安全防御手段,他进来了我们不用担心也不用害怕,进来我们就打游击战。

我们看一下渗透过程。就是黑客已经进入了我们的办公网,黑客的思路一般是在扎根的同时扩大权限,好找东西。扎根就是他得站稳了,因为他一般进来可能只黑了一个人,比如客服人员,他要站稳,不能轻易被用户发现,然后他得扩大权限,比如他现在是一个客服人员的电脑,他可能想用控制器的账号。这时候他会尝试他需要的东西,比如找一些充值接口,或者数据库,或者服务器内网访问通道。常用的方式就扫描端口、扫描漏洞、扫描弱密码和共享文件,通过这些方式来扩大他自己的权限,同时找更多的东西。

当他找到一些弱密码之后他会做循环的东西,把这个机上的密码导出来再跑,再看看有没有其他的通用的密码,然后利用这些密码进行尝试登录。成功之后他可能会安装各种各样的“后门”,我们后面再说一下“后门”,种类非常多。

然后他会进行一些欺骗。攻击成本,要不就是一些工具,有网上现成的,据我了解一些集团化的黑客组织他们更加倾向自己写工具,因为网上的工具用起来不是太熟手,这些工具主要是扫描、数据分析、找他们想要的文件、破解密码和一些未公开的后门。时间也是黑客要衡量的成本,如果太快,比如他一下子扫很多机器,他可能很快被发现,如果太慢一台台翻他也有风险,说不定病毒裤一升级就发现这个后门,这也是黑客要权衡的风险。

我们看一下如何应对黑客的扫描和破解密码行为。首先审计是非常重要的,黑客如果获得审计系统的权限的话,比如我们有DC的可以在DC审计一下登录行为,比如账号频繁登录失败的,我们可以特别关注一下。

然后是135,139,445这几个端口是微软给我们留下的不是很好的东西,但是作用很大,但对安全来说它不是好东西,我们建议在办公网里面如果没有特别需要的话就把这几个口给封了。这样黑客要扫一些弱密码或者共享就扫不到,会直接增加他的成本,他会想更多办法去发现他要找的东西。

还可以使用动态VLAN,不让黑客扩大他的权限。

另外是双因素认证,用得比较多的是口令卡,可能有各种各样的成本,比如管理成本、维护成本、购买成本。我比较建议我们可以考虑使用手机短信来代替口令卡。当然对于不在乎成本的企业来说口令卡当然最少,如果成本敏感型的企业或者企业才刚开始建立安全部门的时候,我们可以暂时考虑使用手机短信来代替口令卡。我们可以自己编写一个程序,随即产生一些数字发到指定的人手机上面,这也是做到双因素认证。

如何应对扫描和密码破解。其实扫描是挺明显的,它的地址是原地址一对多,或者一对一,但多数是一对多,因为它大范围地扫描。目标端口相对固定。另外一个行为是短期内大量重复,我们可以通过一些监控系统都是可以发现的。

后门的分类和部署方式。分三类:私有、小范围和完全公开。小范围公开的就比如一些黑客组织会自己写一些后门,给组织的成员小范围使用,另外一些是比较隐蔽的地下组织,他们会有些私有的后门。特别讲一下私有后门对安全人员和对企业来说是一个很严峻的挑战。

按协议分,有UDP协议的,有TCP、ICMP、FTP、SMTP、HTTP等等,对我们的检测带来很大难度。按行为分有正连和回连。按性质分两类,一类是黑客干活用的,他找东西、扩大权限、传东西用的,他们的设计目标是尽量方便。另外就是他们说的救命稻草用来回生用的,尽量隐蔽,用常规的方法是根本无法检测的,比如他们可以隐含在BISO里面,隐含在硬盘的引导区里面。这种后门其实在互联网上已经有了,无论是国内还是在国外。

黑客部署后门的时候它的部署方式一般是公开和私有混合部署,多种协议混合部署,他会部署大量的干活后门,然后部署少数回生的部门,这跟他的目的是完全混合在一起,他会照顾到隐蔽性和方便性。