互联网核泄漏,Hacking Team数据泄露防护报告出炉

作为最大的网络安全军火商之一,Hacking Team近日泄露包括攻击工具源代码在内的大量数据,危害性堪比“核泄漏”,广大企业安全专业人士需要严阵以待。近日绿盟科技及时发布了Hacking Team数据泄露防护报告,原文转载如下:

攻击:谁在攻击?

75日晚,一家意大利软件厂商[1]被攻击,其掌握的400GB数据泄露出来,由此可能引发的动荡,引起了业界一片哗然。截止发稿时止,有多个组织声称对此行为负责,包括Gamma Group Hacker[2]。虽然目前没有事实表明该声称确实可信,但由此让黑色产业链条中的一种“新”形态暴露出来,即从攻击最终用户演变为攻击中间链条乃至攻击者组织之间的互相厮杀,这种形态已经从黑产上升到供应商、政府机构之间的问题,这不得不说,对涉及中间链条的组织,敲响了警钟。

Hacking TeamGamma Group

Hacking Team在意大利米兰注册了一家软件公司,主要向各国政府及法律机构销售入侵及监视功能的软件。其远程控制系统可以监测互联网用户的通讯、解密用户的加密文件及电子邮件,记录Skype及其他VoIP通信,也可以远程激活用户的麦克风及摄像头。其总部在意大利,雇员40多人,并在安纳波利斯和新加坡拥有分支机构,其产品在几十个国家使用[3]

无独有偶,这次声称对此次事件负责的组织,Gamma Group International[4]也曾经在2014年的8月被人入侵过,在那次的事件中,该组织被泄露了40GB的内部文档和恶意程序代码。这个组织无论从背景还是业务都与Hacking Team类似,但是一家英国的公司。

 地下产业链各方的相互厮杀由此可见一斑,这里简单用一张图来简单展示一下其中的一个部分。值得关注的是,这次通过攻击供应商等中间链条获得攻击数据的动态。

黑色产业链 

图注:黑色产业链

泄露数据

此次事件中泄露的数据多达400GB,数据包中主要包含几个大的部分:

•       远程控制软件源码,也是其核心,暂且称之为Hacking Team RCSRemote Control System

•       反查杀分析工具及相关讨论文档

•       0Day、漏洞及相关入侵工具

•       入侵项目相关信息,包括账户密码、数据及音像资料

•       办公文档、邮件及图片

•       其他

影响程度

在这些数据中,绿色标注的3类比较引人关注,这3类数据将对各个不同的领域造成影响

•       更频繁:0Day、漏洞及相关入侵工具,从目前获取的信息来看

•         Flash 相关的应用及软件使用量非常庞大,Windows平台上几乎是所有的用户都会用到;

•         这些漏洞的流入黑色产业链,会让攻击更加快速和复杂化

•       门槛低:Hacking Team RCS,是该组织主要输出的软件,从目前获取的信息来看[5]

•         可以获取目标用户的电话、电脑的全部信息及影音资料;

•         涉及的桌面OSWindowsMacOs X,手机OS基本覆盖了市场上流行的系统;

•         受该工具及其已经感染的客户端数量的影响,会让攻击门槛降低

•       影响大:入侵项目相关信息,这里面包含了各种入侵过程资料,甚至包含了已经成功获取的账户密码及相关资料,一旦被恶意攻击者获取并利用,将会在黑色产业链中进一步发酵。

 

 Hacking Team远程控制系统

图注:Hacking Team远程控制系统

防护思路

绿盟科技威胁响应中心在长年对黑客组织事件的追踪及分析中,获得了丰富的经验积累,借鉴及建立了一些模型去理解它们,试图从中找到规律,以便为应对未来的未知威胁提供经验借鉴。针对此次事件,这里使用Intrusion Kill Chain模型跟大家进行探讨,虽然不一定适合所有业务环境,但希望可以帮助大家找到指定自身防护方案的一点灵感。

Intrusion Kill Chain模型[6]精髓在于明确提出网络攻防过程中攻防双方互有优势,防守方若能阻断/瓦解攻击方的进攻组织环节,即是成功地挫败对手的攻击企图。模型是将攻击者的攻击过程分解为如下七个步骤: Reconnaissance(踩点)、Weaponization(组装)、Delivery(投送)、Exploitation(攻击)、Installation(植入)、C2(控制)、Actions on Objectives(收割),如下图:

Intrusion Kill Train模型 

通过目前对Hacking Team RCS软件的分析情况来看,主要通过如下三种方式入侵目标:

•         感染移动介质    与很多木马、病毒及流氓软件的传播方式一样,该软件首先还是采取这种低成本的方式进行,感染一些能够接触目标的移动媒体,比如CD-ROMUSB等,即便是OS 或者BIOS设置了密码也一样可以感染,从而获取一些环境数据,比如电脑是否可以上网等,为后续的动作提供参考依据。

•         代理攻击    采用软件或硬件的系统,能够在网络会话过程中修改和注入数据,在某些情况下,可以注入到系统并难以被检测到。同时,也能够感染Windows平台上的可执行文件,如果目标电脑从网站上下载并执行这些可执行文件时,Agent将在后台自动安装,用户不会知晓。

•         APT    如上两种方式都无法奏效的时候,就会采用多种形式组合入侵,采用相关的漏洞、入侵工具及更多利用手段。

 

针对这些入侵方式,下面来分阶段讨论防护思路。

Detect

在这个阶段,建议您将当前IT环境中的漏洞扫描系统升级到最新版本后,尽快开始对业务系统进行扫描,尤其是受此次Flash 0Day漏洞影响的业务系统平台进行一次完整的漏洞扫描。

此次事件中,绿盟威胁分析系统[7]NSFOCUS Threat Analyze CenterTAC)即体现出优越性,即通过独创的静态检测和动态检测引擎,能够不依赖于攻击特征识别恶意软件及其危害程度,率先侦测到Flash 0Day漏洞。

绿盟TAC可有效检测通过网页、电子邮件或其他在线文件共享方式进入网络的已知和未知恶意软件,发现利用0day漏洞的APT攻击行为,保护客户网络免遭利用0day漏洞等攻击造成的各种风险,如敏感信息泄露、基础设施破坏等。

 绿盟威胁分析系统 详情检测报告

绿盟TAC能够在如下两个阶段对此次事件所带来的可能攻击进行检测

•         Delivery阶段:发现(detect)试图传输到内网的恶意软件(文件),包括已知和未知的高级恶意软件;

•         Installation阶段:发现高级恶意软件成功利用后,试图从控制端下载更多恶意程序。

Deny

如果您已经部署了绿盟网络入侵防护系统(Network Intrusion Prevention System,简称NIPS[8]),在升级最新的升级包后,即可阻断Flash 0Day漏洞所带来的攻击,并持续获得敏感数据保护、客户端防护、服务器非法外联防护、僵尸网络防护等多项防护。

绿盟网络入侵防护系统 

请所有使用绿盟产品的用户尽快升级。绿盟科技已在软件升级公告中提供规则升级包,规则可以通过产品界面的在线升级进行。如果您的业务系统暂时还无法升级规则包,那么可以在软件升级页面中,找到对应的产品,通过下载升级包,以离线方式进行升级。 相关信息请访问产品升级公告http://update.nsfocus.com/

另外,用户如果已部署绿盟NIPS产品,可以通过增加TAC防护组件的方式,使企业本地网络具备未知威胁发现能力,并与绿盟NIPS形成联动,在第一时间做到未知威胁检测、拦截。

Patch

在这个阶段,建议您尽快的安装就此次泄露出来的资料库中所包含的Flash 0Day漏洞,Adobe官方已经修复了漏洞,并提供了升级版本,请广大用户尽快升级到最新版本。FLASH更新步骤如下:

•         打开https://get.adobe.com/flashplayer/?loc=cn  

•         点击立即安装,保存安装包,下载完成后执行安装文件

 

0Day漏洞一旦被公开,往往也是被攻击者利用最为猖狂的时候。在此安全专家建议:

•         安装反病毒软件进行全盘查杀并第一时间更新系统和Flash补丁

•         推荐使用安全级别更高的猎豹, FireFox浏览器

•         Chrome用户请升级至最新版本(>=43)

•         IE, Chrome用户请手动升级Flash至最新版本

•         养成良好的上网习惯和安全意识

•         提高内部员工的安全意识和建立完备的监控体系是防范APT的重要手段。

•         建议对内部员工开展广泛的安全意识培训,避免出现使用弱口令、点击不明来历邮件附件、访问恶意网站等危险行为。不随意打开陌生人通过QQ等发送的网页链接不随意打开垃圾邮件

 

解决方案

绿盟下一代威胁解决方案(NGTP解决解决方案),是针对APT威胁进行检测和防御的解决方案。NGTP解决方案聚焦APT攻击链条,检测和防御APT攻击链中攻击,潜伏和盗取三个主要环节。重点检测和防御在攻击尝试阶段,进入后的潜伏和扩展攻击阶段,以及最终盗取数据目的阶段。

 NGGP解决方案

 

 NGTP解决方案以全球威胁情报云为纽带,以未知威胁检测为核心,通过与传统终端、网关设备联动,实现跨厂商的威胁情报的共享,以及企业威胁态势可视化,最终达到提升企业APT威胁防护的能力的目标。

 

应对0Day

NGTP针对0Day漏洞攻击的解决方案,由本地沙箱TAC,威胁防御模块IPS,绿盟安全信誉和ESPC管理等系统构成。NGTP方案防御0Day漏洞攻击的流程:

•         第一步:要经过本地沙箱系统TAC的检测,TAC提供静态检测引擎和虚拟执行引擎,对恶意软件进行Shellcode静态分析,然后再进行虚拟执行。通过这两步分析,从Hacking Team组织泄露的0Day攻击软件被识别出来;

•         第二步:TAC检测出恶意软件的来源,生成信誉信息,包括文件的信誉和攻击源IP等信息,同步到本地的安全管理中心ESPC,形成本地的信誉库;

•         第三步:NIPS从本地信誉库接收到恶意软件的信誉信息,对发起攻击的源IP实现阻断,并生成告警日志。 



[1] Hacking Team主页http://www.hackingteam.it/

[4] Gamma Group主页https://www.gammagroup.com/

[5] Hacking Team RCS分析,《简要分析:Hacking Team远程控制系统》

[6] Intrusion Kill Chain(或称为Cyber Kill Chain)模型由Lock Martin公司Eric M. Hutchins等三位安全研究员在20113月举行的ICIW大会上公布。

[7] 绿盟威胁分析系统TAChttp://www.nsfocus.com.cn/products/details_22_1.html

[8] 绿盟网络入侵防护系统NIPShttp://www.nsfocus.com.cn/products/details_22_3.html

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

X