2023 年 4 月中旬,A 企业紧锣密鼓地开展了重保后期的筹备。A 企业是一家集团公司,业务范围广,资产泛滥,为了提前理解本身平安状况,探知未知危险,公司通过本身资产清单及配套伎俩对本身资产裸露状况进行了梳理。
通过一周的收集整理,A 企业发现仅凭本身伎俩临时无奈齐全笼罩业务资产范畴,于是开明了 腾讯平安威逼情报中心的攻击面治理平台(以下简称“TIX-ASM”)的应用。
在一轮紧密的资产排查后,TIX-ASM 发现 A 企业存在许多高危危险,除了破绽、网站内容篡改、高危端口等攻击者常利用的弱点外,还发现了以社工钓鱼为目标的仿冒资产。
本文还原了腾讯平安攻击面治理帮忙企业在重保期间梳理攻击面、并且及时处理和溯源的全过程。
图 1 TIX-ASM 发现异常威逼事件
剖析过程
1、摸清家产后果
开明权限后,A 企业通过 TIX-ASM 的底层资产开掘引擎 挖掘出企业不同类型的数字资产,包含 IP 地址、域名、网站、小程序、公众号、装置工具及其 APP 等。其各种资产类型其中域名和 IP 地址最多,各类型的资产内容散布占比方下图 2:
图 2 各类型数字资产
图 3 资产详情
通过一轮资产发现,A 企业针对后果进行了比对和验证,TIX-ASM 失去了预期成果,共辨认资产 2794 个。
2、重点资产威逼事件
摸清家底后,TIX-ASM 对用户关怀的重点敏感资产和潜在危险进行了剖析。除了破绽危险、网站内容篡改、高危端口、常被利用的敏感服务等攻击者常利用的弱点,TIX-ASM 还发现了两个重点异样威逼事件,并帮助用户的平安人员一起进行了处理和溯源。
TIX-ASM 在影子资产(忘记的边缘资产、合作方资产、仿冒资产、未经批准的网站或设施等)排查过程中,发现某网站内容与企业简称有强相关性,且登载了一则《xxx 员工 xx 衰弱问卷调查》。整个页面反对失常内容填写,注销近期是否发烧等衰弱状态,同时还有个人信息、邮箱。同时反对批改明码:如果遗记账号密码,可通过下列二维码进入 xxx 管理系统批改。
图 4 xx 管理系统二维码
最后,A 企业初判此类内容网站已收录至公司外部网络管辖范畴内。但因为发现此网站的服务 IP 所在地区异样,此服务可疑度较高,所以腾讯平安专家决定进一步排查。通过与用户的经营人员的排查和确认,此网站内容非企业外部行政部门批准下发的考察问卷,而业务服务也并未通过失常上线流程批准,最终断定为社工钓鱼为目标的仿冒资产。后续 A 企业将相干 URL 进行了内网排查,以及进一步做了仿冒业务申报以推动下线防止造成更多危害。
这时,平安人员提出一个问题:用户是怎么研发出和公司外部网站类似度非常高的页面呢?
- 合作方长期部署后未及时下线;
- 外部员工出于业务须要擅自搭建的零碎(未走审核流程);
- 外部长期搭建的测试页面;
- 相干代码泄露被内部人员利用仿造网站等。
依据多年相干威逼事件的追踪,这几类相似性高的资产散布状况如下:
图 5 相似性高资产的散布
因为仿冒网站与实在业务类似度较高,存在以实在业务代码进行仿冒的可能性,在和 A 企业沟通剖析后,在 TIX-ASM 上启动了信息泄露监测服务。经证实,TIX-ASM 的确发现此网页代码泄露在公网中。通过代码获取和剖析,确认了仿造出网站的可能性。因而根本确认,此次业务网站仿冒事件存在因零碎代码泄露,造成内部人员仿冒部署此网站的可能。
图 6 xx 网站代码泄露
同时,在盘点资产过程中,A 企业放心仿冒网站页面二维码也有潜在危险,其跳转的页面显示为“后端管理系统”。在通过 TIX-ASM 的资产聚类分析算法模型剖析解决后,确认了尔后端系统与客户企业的归属关系。这带来了用户企业的新的问题:这个后端管理系统目前还在应用吗?
基于大数据分析系统回扫发现,此域名在最近 1 年访问量有激增趋势,可认为正由不沉闷态转为沉闷态。
图 7 热度趋势图
思考到此网站业务存在工夫较长,存在外部搭建的可能。于是 A 企业与外部相干人员进行了复盘、排查和确认,获取到了更多的信息。此网站为大概 5 年前某业务在测试阶段搭建的页面服务,因为后续网站其余业务继续迭代,此页面已处于不再应用状态。因为新的理论业务已在运行中,此测试页面未纳入外部治理范畴内。同时,通过进一步排查,管理人员发现此零碎还存在 1 个泄露在外的一般权限的账号,从而被有心人利用造成仿冒业务。在全面盘点后,用户企业对该长期测试页面进行了下线关停。
事件定性总结:攻击者通过内部泄露的 xx 网站代码和几年前的 xx 管理系统权限,而后模拟出仿冒网站服务,获取员工的账号、邮箱、明码等信息。
图 8 事件剖析过程图
3、溯源剖析
在整个事件过程复盘剖析中,A 企业存在一个最初疑难:攻击者到底是谁呢?
为了实现这个追踪溯源出的指标,腾讯平安的威逼分析师依据仿冒资产应用过的 IP 地址为线索(此 IP 地址为代理秒播,但从已建设的平安常识图谱和聚类算法对根据此 IP 进行聚类分析),从威逼指标 IOC(Indicators of Compromise)、网络根底信息(IP、域名归属者等)、反查域名历史等数据进行拓线剖析,狐疑此 IP 地址为某平安团队应用(攻防演练的攻打方)。同时,基于此假如对此 IP 地址进行多层聚类分析验证,发现其关联实在 IP 所属也与此团队所在地理位置相符。后经确认,此 IP 确为攻防演练的攻打方所用。
图 9 聚类分析过程
图 10 聚类分析后果
重保期间罕用手法
依据今年攻防反抗发展趋势来看,除了罕用的攻击方式外(如利用破绽进行提权、横向浸透),弱明码和各类型社会工程学伎俩(如钓鱼)也有了更宽泛的利用。并且,通过新型媒体平台(如小程序、公众号)成为新的社工突破口。因为其未纳入企业资产治理范畴,具体管控形式也不如网站、IP 资产欠缺和成熟,很容易成为攻防反抗中的突破口。
在社工伎俩中,次要形式是通过对员工、老板、合作方等通过邮件、招聘、报销等具备吸引力的内容进行边界冲破。应用的内容往往联合当下实时热点话题,高阶策略额甚至会关联泄露在外的实在员工信息、邮箱、账号密码、代码等内容。因为内容的吸引力和局部信息的真实性,让攻打指标(受害人)很难发现攻击者的目标。
同时,各种弱明码登录入口也是攻击者比拟聚焦的。例如网站登录弱明码、罕用组件弱明码、罕用服务配置弱明码、近程登录弱明码、文件传输弱明码在各类入侵事件中,都是第一波试探性攻打的指标范畴。在屡次安全事件中,腾讯平安威逼情报中心发现,大多数软件治理、配置、登录的入口,会默认配置一些用户名和明码成为软弱的入侵点。例如常见的弱明码组件如下所示:
表 1 常存在弱明码组件示例
基于某行业历史攻打事件的统计,弱明码类型的散布如下:
图 11 某行业弱明码类型
腾讯平安攻击面治理推出收费试用申请
以内部攻击者的视角对企业业务的攻击面进行持续性检测、剖析研判,可无效晋升企业本身对资产的掌控,并发现未知危险,并采取措施缓解威逼和升高危险。腾讯平安攻击面治理 TIX-ASM 基于数据挖掘、网络空间测绘、无感知半连贯技术、指纹库等技术,提供业界当先的互联网裸露面(服务、端口、组件)与破绽危险的纵深探测服务,帮忙用户疾速梳理本身资产并收敛攻击面。
在重保期间,腾讯平安推出 TIX-ASM 收费试用流动,帮助企业进行裸露面收敛和边界进攻。有须要的企业可 扫描长图二维码,进行支付。