共计 2639 个字符,预计需要花费 7 分钟才能阅读完成。
编者按
腾讯平安 2022 年典型攻打事件复盘第七期,心愿帮忙企业深刻理解攻打手法和应答措施,欠缺本身平安进攻体系。
本篇讲述了某物流公司遭逢不明黑客攻击,腾讯平安服务团队和客户通力合作,排查溯源,最初揪出黑客的尾巴,阻断危机蔓延的故事。
“请不要置信,胜利就像山坡上的蒲公英一样唾手可得,网络安全,也是。”曾勇江用最近很火的一句话回顾起往年的一场场重保战斗,“然而请置信,世上总有一些美妙值得咱们全力以赴。”
往年是非凡的一年,对于网络安全行业同样如此。在广交会、世界智能大会、数博会,以及泛滥攻防演练期间,曾勇江所在的腾讯平安服务团队都在背地默默提供平安保障。
而回忆起其中印象最粗浅的攻防事件,却是八月份帮忙一家物流公司做的重保服务。“因为,这届黑客不讲武德!”
(腾讯平安服务负责人 曾勇江)
有内鬼,进行交易
工夫回到往年八月份,腾讯平安受一家物流公司委托,为其提供为期两周的重保服务(重要期间的网络安全保障)。
经验丰富的腾讯平安服务团队对此并不生疏,他们迅速和物流公司组建了“护航战队”。单方配合默契,加上物流公司自身有欠缺的平安体系和平安人员,“护航战队”很快就开始了他们相熟的重保服务“三部曲”。
第一部,加固备战。平安运维人员各司其职,多维度把握企业相干平安信息,为后续平安进攻与加固提供根据。
第二部,实战测验。平安运维人员兵分两队,发展外部实战演习,测验和晋升实在环境下的企业攻防反抗能力。
第三部,重保防守。腾讯平安服务团队在重保期间,7*24 小时全天候待命,作为企业在重保期的无力后盾。
故事产生到这里,仿佛所有循序渐进,一份完满的答卷行将实现。
然而,天底下没有密不透风的零碎,素来没有 100% 的平安。——这也正是网络安全的魅力所在,多少平安从业者通宵达旦钻研技术,摸索平安的边界,都是为了向更平安的零碎凑近一步。
真正的威逼,此时正埋伏在光明中伺机而动。
八月中旬的一天,IT 人员敏锐地监测到一名外部员工在工作工夫屡次拜访外部敏感信息,扫描内网、收集企业数据资产,甚至申请拜访了多个高权限的 IP 和端口。
“咱们恐怕遭逢内鬼了!”
一连串的越权拜访行为,好像是一场精心策划的偷袭,团队中不禁有共事狐疑遭逢了内鬼攻打。
此时,间隔这位外部员工越权拜访已有 2 小时之久。如果不能及时揪出“内鬼”,溯源他的所有拜访行为并一一阻断,后期做的所有保障工作恐怕将功亏一篑。
面对如此辣手的问题,曾勇江连夜找来了腾讯平安云鼎实验室的 Zhipeng 现场声援。
(腾讯平安云鼎实验室 Zhipeng)
溯源排查,揪出黑客的尾巴
当 Zhipeng 来到客户的“护航指挥部”办公室时,所谓的“内鬼”曾经被找到,然而十分回绝配合,而且办公电脑很多重要数据都被删除,让整个溯源排查工作难上加难。
Zhipeng 和团队先是进入后盾导出系统日志,然而因为重要数据曾经被删除洁净,这个溯源门路只能无功而返。
“或者复原硬盘数据,还能看到一些线索。”Zhipeng 开始尝试第二条门路,后果发现,因为团队不小心将内存快照保留到 D 盘,把本来可能复原的硬盘数据也给笼罩掉了。
溯源排查的过程一波三折,许多人为因素让 Zhipeng 头疼不已。
就在团队束手无策的时候,Zhipeng 看到客户办公电脑里相熟的 iOA 软件。这是腾讯平安推出的一款零信赖平安管理系统,它会记录办公电脑拜访过的域名、IP、URL 等记录。
“咱们另辟蹊径,从 iOA 的日志来溯源呢?”
因为 iOA 就装置在 C 盘,加上运气不错,许多重要的日志都有留存。最终,依据 iOA 的日志,他们拿到了攻击者入侵的 IP,并通过零碎的日志找到要害的事件 ID,从而扒出了攻击者在入侵之后执行的命令。联合执行命令和 iOA 日志,Zhipeng 和团队终于抽丝剥茧,把整个攻打过程还原了一遍。
为什么溯源攻打过程如此重要?Zhipeng 打了一个比喻。
如果把入侵者比喻成晚期的疫情感染者,那入侵过程就像是感染者的流调记录。通过溯源感染者的流调记录,找到密接者并进行隔离,能够无效地阻止疫情扩散;同理,通过溯源入侵者的攻打过程,晓得它拜访了什么端口、IP,甚至做了哪些批改,能够无效地阻断这一次攻打。
(腾讯零信赖 iOA)
钓鱼可耻,但有用
随着攻打动作被一一拆解,攻打过程的假相浮出水面,团队所有人都啼笑皆非。因为 他们的确遭逢了一场精心策划的偷袭,然而却不是内鬼,而是一种“古老”的攻击方式——网络钓鱼。
据 Zhipeng 介绍,整个攻打过程还原大略是这样。
这位员工平时喜爱玩某个职场社交软件,动静更新和评论都很踊跃,个人信息、工作信息、岗位信息等重要信息,都裸露在社交平台上。不法黑客看到这一点,于是利用平时“造就”的假账号,伪装成猎头或 HR、校友,和这位员工加为好友和聊天。
黑客盯上这位员工的另一起因,是因为他是公司的运维人员,个别运维人员在企业的拜访权限都比拟大。
黑客胜利和这位员工“搭上线”之后,通过一些隐蔽性极强的链接或文件,诱导员工关上,从而胜利入侵了员工的办公电脑。黑客在午饭时间,利用一些近程控制软件在后盾操控,并将该电脑作为跳板,进行二次攻打,拜访了公司内网多个高权限的 IP 和端口。
至于为什么该员工一开始回绝配合并删除了大量数据,Zhipeng 猜想,可能这位员工还不晓得本人被网络钓鱼了,然而因为他在办公电脑应用近程控制软件自身就属于违规行为,以及平时可能为了不便在办公电脑装置了一些违规软件、游戏,浏览了一些违规网站,放心公司问责,就把数据都删除洁净,才有了一开始被认为“内鬼”的误会。
“这届黑客不讲武德啊!”Zhipeng 笑着形容这一次触目惊心的攻防过程。
屡次加入重保工作的曾勇江则认为,“高端的猎手,往往采纳最奢侈的攻击方式。事实证明,当咱们把内部防线做到十拿九稳时,最容易和最间接的攻破伎俩,往往是网络钓鱼这类社工攻打。”
网络安全的实质和初心
网络安全的实质是攻防,外围是人与人的反抗。社会工程学攻打正是利用兽性的弱点实现冲破,黑客们通过对受害者心理弱点、好奇心、信赖、贪心等心理设计陷阱,对指标开展攻打。
人,既是攻防反抗的配角,也是钓鱼攻打的短板,更是一次次平安守护的目标和初心。
曾勇江回顾起往年的一场场重保战斗,除夕夜,他们在北京“大裤衩”大楼,保障春晚直播,守护屏幕前的年味;冬奥会,他们在央视频后盾值守,保障直播零事变,守护每一个夺冠霎时;广交会,他们驻扎在广州展馆内,保障了寰球参展商的云上生意,也保卫了有数中小企业致富的美妙愿景。
对于团队而言,这既是工作,更是使命。守护好每一个平庸的霎时,所有都值得。
