作者:2020-07-22阅读次数:7241评论:0
公布时间:What happened
At this time, we believe attackers targeted certain Twitter employees through a social engineering scheme. What does this mean? In this context, social engineering is the intentional manipulation of people into performing certain actions and divulging confidential information.
The attackers successfully manipulated a small number of employees and used their credentials to access Twitter’s internal systems, including getting through our two-factor protections. As of now, we know that they accessed tools only available to our internal support teams to target 130 Twitter accounts. For 45 of those accounts, the attackers were able to initiate a password reset, login to the account, and send Tweets. We are continuing our forensic review of all of the accounts to confirm all actions that may have been taken. In addition, we believe they may have attempted to sell some of the usernames.
显然这并不是一个单纯的外网业务安全漏洞,而是一场针对性的黑客攻击。攻击者使用社会工程学定向瞄准了多个特定的Twitter员工,这意味着攻击者可以窃取这一小批 Twitter 员工的身份凭据(身份凭据是指如:账号密码、Cookie、AccessToken、SecretKey等数据),从而以合法员工身份操作 Twitter 内部的关键系统,并且调用了只有 Twitter 内部支持部门才有权限使用的内部工具,访问了130个Twitter账号的信息。攻击者利用内部工具重置了其中至少45个账号的密码,登陆到目标账号发送钓鱼推文,完成攻击目标。
调查仍在继续,从目前的攻击手法看,这必然可以定性为一起APT攻击事件。在这起事件里,我们有理由相信攻击者已经潜伏了不短的一段时间,这也是一条很典型的盗用合法身份、操作内部工具达成入侵目的的攻击路径。
作为同样知名的大型互联网公司,腾讯会面临这样的安全风险吗?答案是肯定的,拥有着巨大的数字资产,腾讯在现实世界中一直是多方黑客觊觎的目标。攻击者无时无刻不在对腾讯进行扫描和渗透,想方设法进行入侵,其中不乏有与这次Twitter事件一样的APT高级攻击者。
未知攻焉知防,「腾讯蓝军」其实早在公司内部的多次红蓝对抗网络安全攻防演习中已使用过类似的攻击手法,模拟黑客的APT攻击手法核心业务,并达成攻击目标。信息安全行业中通过模拟真实的攻击手法来检验业务系统安全性、专业从事攻击的安全团队叫做 Red Team,国内称为“蓝军”。
每次安全演习过程中,作为攻击方,蓝军都需要解答这个问题。
腾讯蓝军从2006年组建至今,陆续联合公司内各业务团队开展渗透测试,包括各类重要业务,发现并消除了大量潜在安全风险。从2008年以来,随着公司洋葱反入侵系统的上线,蓝军开始持续进行红蓝对抗演练,模拟黑客进行攻击,防患于未然。
2019年,腾讯蓝军特别联合公司「数据保护项目」开展了利剑专项,通过安全演习反向验证业务安全性,为核心业务把脉,提供全方位安全保障。随着多年来的轮番演习和加固,可以看到核心业务的安全水平是不断提高的,攻击的成本和门槛也不断提升。
回到前文的问题,那如何快速达成操纵核心业务数据的攻击目标?攻击者需要找到内网中关键的“灯塔”。这些“灯塔”可以是关键的人员、也可以是关键的应用系统,比如内网的集权系统,域控、邮箱服务器、代码仓库、运维系统、运营系统,或者离用户数据或资产非常近的客服系统、财务系统等等。
大型企业内网涉及到复杂的网络区域划分、业务架构和底层协议交互,在内网攻击过程中瞄准业务正常操作流程中的关键应用系统显然可以起到事半功倍的效果。纵观历年来众多内网安全演习,早期我们也尝试过直接扫描和爆破核心数据库,甚至通过修改某些数据库中的余额字段达到给自己“充钱”的演习目标。随着攻防对抗的递进,这条路已经重兵把守,攻击成本非常高,任何大动作的扫描都会引起安全系统或者业务监控数据上的告警,导致攻击行为暴露。于是攻击路径逐渐转向更加隐蔽的方式,这也是APT攻击最典型的手法:冒用合法身份操作内部工具和平台。
类似于Twitter这次安全事件中涉及的“内部工具”中的重置密码、修改用户信息等功能其实是属于业务底层的最基本逻辑,是给用户提供对应服务的。当然这些工具并不能随便调用,只有极少数核心人员或者通过对应的内部系统才有权限操作,并且也需要层层审批和审计。
所以这些业务系统和工具的安全性就至关重要了。
内外网业务系统的安全防护离不开业务同事的共同参与,而公司内「数据保护项目」为大家提供了具体的数据安全指标和参考规范。依据腾讯蓝军多年来对公司内部和外部公司的各种安全演习对抗的实战经验,从攻击者视角看,内网各个核心业务的风险路径之间存在大量的共性。如何提升核心业务的安全水平?我们可以从以下几个方面规避风险:
1. 消除敏感信息泄露
信息搜集是攻击过程中非常重要的一个环节,内网各种系统上的信息可能会泄露各种敏感信息,包括账号密码、文档、代码等等。这些信息往往会打开攻击者通往关键系统的突破口。
2. 高危服务与组件的鉴权和管控
高危服务和组件在内网如果未加鉴权和管控,可能直接被利用获取服务器控制权。比如:Docker API、Redis、各种语言调试端口等等。捐款成功,感谢您的无私奉献
评论留言