我国证券行业的数字化转型工作近年来取得了卓效的成果,通过Web应用、APP和小程序等多种形式为客户在处理各类证券业务时带来了极大的便利。但是在数字化重塑证券业务服务模式的同时,线上业务的暴露面也在不断扩大,面临的安全风险防护形势也愈发严峻。潜伏在暗处的攻击者可能在任何时间从任何方向完成突破、入侵,防守者则需要时刻保持警惕,建立纵深防御体系,才有可能抵御住攻击者的入侵。这种攻防双方极度不对等的态势对安全建设工作带来了极大的挑战。
这种需要防守者长期保持“高度警惕”的态势,催生了自动化防御、检测设备的诞生与发展。同时,依托于智能化检测设备在准确率和召回率上的大幅提升,部分证券公司摸索出了一套适合自身业务的自动化防御体系,在很大程度上解放了人力,也带来了很好的效果。但我们都知道攻和防是一个持续博弈的关系,随着防御手段的升级,攻击的手段也愈发变得隐蔽、刁钻。攻击者源源不断的抛出各类0Day漏洞,自动化攻击工具越来越先进智能。如何验证现有防护体系是否能够有效抵御现有攻击手段,最佳的方式就是以安全专家模拟“黑客”的行为来攻击我们的系统,也就是我们所说的实战化攻防演练。而随着面向关键信息基础设施运营方开展的全国大型攻防演练活动多次开展,我们判断证券行业的安全建设也逐步进入了实战攻防时代。
实战攻防演练中,攻击和防守双方在持续的博弈中各自精进,在实战化攻防局势下,充当攻击者的安全专家们,无论从攻击思路、攻击手法还是协同作战能力上,都随着每一次的演练活动,能给到防守方意想不到的“惊喜”,也时刻提醒着防守方,安全防护体系中仍然有需要加强的部分。下面我们将分析在实战中常见攻击技术的演进历程。
攻击武器自动化
常言道,工欲善其事,必先利其器。从上古时代开始,就有各种各样的渗透神器,但是随着安全体系的不断完善,通用工具的指纹特征基本都被记录在案,在面对被各类防护设备武装到牙齿的目标时效果会大打折扣。随着近几年无数次实战攻防演练的打磨,经验丰富的攻击团队慢慢都积累了自研的专属武器库,将之前大量需要人工试探的步骤自动化,大大提升了入侵的成功率和效率。
据Recorded Future分析表明,自动化的攻击工具和资源已形成生态系统,地下黑市销售的各种工具能够让攻击链(KillChain)几乎每个环节都实现自动化,从最初的侦察、网络侵入到有效负载投递、逃避检测、泄露数据以及被盗数据的货币化。在过去,这些“产品化”甚至“商品化”自动化工具需要攻击者花费数月时间才能开发、测试和部署的攻击,现在已经可以“开箱即用”。
在实际的攻防演练中我们也能够观察到这类变化,对于攻击者来讲,拿下更多的主机往往意味着可以拿到更多分数。在早期拿下内网的一台机器后,需要提权以及进一步的横向移动,整个过程非常依赖攻击者自身的经验及能力,初级的选手在这个时候一个不小心可能就被防守方发现了。但是随着自动化工具的普及,攻击者也不再是自己一个人面对整个防守体系,在攻击团队中,优秀的攻击者将自身的能力以及如何逃避检测的经验沉淀到工具箱中,大大提升了整个团队的攻击效率。可以说自动化工具的大量应用让攻击成本和门槛更低,一个优秀的攻击者在自动化工具的加持下,可以在极短的时间内完成之前一个团队数日的工作成果,在实战攻防演练中将攻击能力最大化。
外网攻击面全视图
现代战争的关键是信息的对抗,两军对垒,开战前,已经将对方的兵力部署粮草供应全部摸透,甚至是连对方将军乃至厨师的个人爱好、日程安排全都搞到手,相当于开了上帝之眼,那么在开打前就已经赢了大半。对于网络安全攻防也是同理,在安全建设中,资产排查梳理这块是一个老生常谈的问题,尤其是有些证券公司正面临着业务上云,在从IDC往云上迁移的过程中,存在着资产归属不清,甚至出现一些影子资产在安全防护层面属于无人认领的状态,很难纳入到现有的安全防护体系中来。
反观攻击视角,经过近年来不断进化,优秀的攻击者对于外网信息搜集能力不断沉淀,量变引起质变,可以做到在确定攻击目标后,快速关联出各类相关的资产,以及关联情报源。攻击者可以快速定位到关键资产乃至关键人的信息,通过对于员工在互联网的活动轨迹做关联分析,可以更精准的实行包括定向钓鱼等社会工程学攻击。对于外网资产以及散落在互联网中各类和防守方相关的信息,攻击者甚至已经做到比企业更了解自己的地步,在实战攻防开战前就已经牢牢的占据了先机。
深挖Web应用攻击
在实战攻防中,Web应用攻击是最常使用的攻击手法之一,攻击者只需要通过互联网即可远程对目标发起攻击,达到获取数据、执行命令、控制服务器等目的,直接威胁企业安全。围绕Web应用的攻防也随着技术的演进而进化。针对证券行业的攻击面除了传统的Web系统外,公众号、小程序、API、移动APP等也在逐年扩大。攻击手法上,早期通过弱口令、文件上传、SQL注入等常规漏洞利用较多,攻击难度也相对较小,利用手法相对简单粗暴。随着Java应用和中间件的兴起,整个证券行业安全防护能力的增强,反序列化漏洞在Web攻防中逐步占据重要地位。
在很多证券公司广泛使用的Fastjson、Weblogic、Shiro等各类Java通用组件陆续爆发大量反序列化代码执行漏洞,使得攻击者可以在庞大的Web资产列表中快速定位到最薄弱的那一环,快速突破目标撕开一个口子。
与此同时,随着实战攻防演习规模和影响的扩大,攻击者针对各类OA、邮箱、CMS系统等进行了更加充分的漏洞挖掘和利用,在这种背景下,攻击者更注重高效直接的获取系统权限,并想办法隐蔽攻击手段和采用加密的流量来躲避防守方的排查。WebShell也从原先无论是文件还是流量上均会留下特征的落地文件马,逐渐演变为无文件、无明显流量特征的内存马。整体的入侵流程变的更加的细腻而隐蔽,对于防守方的监测和应急工作也带来了更高的挑战。
供应链攻击
近年来SolarWinds、Codecov等事件的爆出,无一不展示了供应链攻击的巨大威力。证券行业在包括OA系统、邮箱系统以及集中交易系统等选取的供应商其实有很强的通用性,头部的几家供应商占据了大量的市场份额。针对上游软件发起攻击,对于攻击者来讲绝对是低成本高收益的选择,一旦攻击成功,对于整个下游行业的实战攻击都可以复用攻击成果。
常见的供应链攻击包括开发工具污染、入侵官方网站替换下载链接、劫持更新服务器、盗用身份对恶意应用签名等。在实战攻防演练前,攻击者会针对整个证券行业供应链情况开展大量的调研和信息搜集工作,在实战开始后,迅速定位防守方使用上游供应链软件的指纹特征,拿出之前积累的研究成果开始突破。不可否认的是目前很多软件供应商的整体安全建设非常滞后、部分能力顶尖的攻击团队在确认防守方使用的上游供应商系统后,可以通过其他途径下载到同版本的软件甚至是源码,然后开始现场挖0day,通过新鲜的0day去攻击防守方,往往可以取得非常好的效果。
这里可以看一条实际的案例,在某次实战攻防演练中,作为目标的某证券公司在之前已经参与过多轮实战攻防,整体安全建设已经做的比较好了,进行了多次正面突破都没有太多实质性的效果。这个时候我们决定迂回攻击,找供应链下手,经过前期的摸排已经确定了某系统的供应商,经过试探发现这家供应商的安全相对一般,进入内网后很快就拿到了gitlab的权限,经过对该系统的源码审计我们发现了可以直接RCE的0day漏洞,这个时候回到正面战场,面对原来固若金汤的防守直接撕开一条口子,进入到了该目标的内网中。
瞄准安全设备重拳出击
在突破边界进入内网环境后,攻击方为了高效的快速拿下核心靶标系统,会优先倾向于攻击各类特权系统,例如拿着CVE-2020-1472打域控,更有甚者会通过虚拟机逃逸直接拿下宿主机。这样相当于直接拿下了对方的中枢指挥室,团灭对方也只是时间问题。
还有一类的攻击方式在近年来也在逐渐兴起,那就是瞄着安全设备打。我们知道安全设备要想起到比较好的防护效果,通常本身是需要具备很高的权限,尤其是需要侵入式部署的设备,这样也就导致了引入安全设备本身也带来了潜在的安全风险。
同时考虑到,通常情况下一个系统的漏洞数量及整体的安全性除了开发者本身的因素之外,和它的使用范围以及安全研究者的关注程度也是存在一定相关性的。而很多安全设备,本身就是安全公司出品,自带“安全”的光环,反而容易产生“灯下黑”的情况。在实战攻防中,攻击和防守方都需要核算自己的成本,大一点的安全厂商基本都有自己的安全研究团队,相比于虚拟机逃逸这样的大杀器,对于一些安全设备的漏洞挖掘成本会可控很多,而且在实战中屡屡可以产生奇效。
在一些具体的案例中我们可以看到这样的情况,为了诱捕攻击者,甚至溯源出攻击者的信息,一些防守方会在内网和互联网侧都部署蜜罐类的产品,正常情况下来讲是没有任何问题的,但是如果产品本身存在缺陷或者是在部署配置过程中没有做好网络隔离,反而会增加自己的攻击暴露面。还有就是类似于HIDS等需要在多个设备部署Agent的产品,产品初衷是为了更好的监控每一台主机的风险,但同样如果本身存在安全隐患,带来的结果也是灾难性的。在实战攻防演练中,攻击方进入内网后,横移过程中模拟正常运维人员的操作进入了某台装有Agent的服务器,由于操作足够隐蔽并没有第一时间引起告警,进一步从Agent直接打到Server,通过产品自带的命令下发功能,相当于打开上帝之眼,一次操作可以控住上千台主机。
这类在实战攻防中瞄准安全设备作为突破口的情况,虽然短期来看可能会出现友商之间互殴的情况,但是本质上是在帮对方解决安全隐患,长远来看是有利于整个安全行业良性发展的。
正如前文提到,攻击和防守是一个交替进化的过程,以上是笔者观察到到近年来在实战攻防演练中常见攻击技术的演进,希望这些站在攻击者的视角能给安全建设工作带来一些启发。
龚杰,长亭科技产品服务总监,前蓝莲花战队成员,有丰富的实战攻防对抗经验,助力多家企业开展安全防护体系建设。
证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案,为大家分享一线安全规划、运营、建设的心得和实践经验。
![]()
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
原文始发于微信公众号(SecUN安全村):实战攻防时代的攻击技术演进|证券行业专刊·安全村
评论