| 本文共 3775字,閱讀預計 7分鐘 |
對于網絡安全而言,2021年非同尋常,又意義非凡。數據安全、代碼存儲庫、惡意軟件、零日漏洞、新型勒索軟件等不同類型威脅輪番上演。2021年企業數據泄露平均成本達到近17年以來最高;用戶憑證泄露成為了數據泄露最主要的原因;“世界上最危險的惡意軟件”僵尸網絡卷土重來......未來很難預測,但總結過去卻相對容易,而且對現實更有價值。這次的微步一周薦讀windows無法打開添加打印機 本地打印后臺處理程序,我們篩選了2021年最重大的安全事件,并附上了具體的應對建議,希望對你有幫助。
攻擊:了解供應商的安全狀況2020年12月底,發布分析報告稱旗下Orion基礎設施管理平臺的發布環境遭到攻擊者入侵,并對文件.Orion.Core..dll的源碼進行了篡改并添加后門代碼,由于文件具有合法數字簽名因此會伴隨軟件更新下發。該攻擊隱藏性極強,企業完全無法自行感知。根據微軟的說法,攻擊者能夠“偽造SAML令牌來冒充企業任何的現有用戶及帳戶,包括高特權帳戶。當時已檢測到北美、歐洲、亞洲及中東等全球多地的一些政府、咨詢、技術公司被攻擊,波及范圍極大。
經驗教訓
供應鏈攻擊事件并不少見。而這次事件給我們最大的教訓在于:企業不僅要考慮自身的安全流程,同時還需要仔細審查安裝軟件的來源及完整性、確認是否可信,了解供應商的安全流程。對于高特權賬戶,也需要檢測其異常行為。創建新的聯合信任或將憑證添加到可執行如mail.read或mail.之類操作的進程時,均需要進行審查。同時,還需要在網絡外圍防火墻阻斷已知的C2終端。
零日漏洞攻擊:及時更新并安裝補丁2021年2月,美國、加拿大、荷蘭及其他國家和地區的多個組織早遭到嚴重的數據泄露,原因在于使用的FTA(File )文件傳輸服務存在漏洞。其中,美國零售巨頭克羅格是最大的受害者之一,旗下藥房及診所的員工及服務客戶數據被曝光。另外,能源巨頭殼牌公司、眾達律師事務所、新加坡電信、華盛頓州和新西蘭儲備銀行等均在受害者之列。
據了解, FTA是美國公司開發的一個文件傳輸程序,能夠幫助企業使用一個本地或托管的私有云傳輸大的敏感的文件。此次攻擊與一個存在漏洞的FAT文件傳輸設備技術中的零日漏洞有關,大約300家企業一直使用該版本在企業內外部傳輸大型文件。有安全廠商認為,此次攻擊與Cl0p勒索軟件家族和組織有關,使用了技術中的四個零日漏洞。
經驗教訓
攻擊事件再次證明了供應鏈攻擊的危險性,攻擊組織也正是利用了文件傳輸設備軟件中的零日漏洞,針對大量的企業進行攻擊,極大減少了初始訪問需要耗費的精力。對此,建議企業能夠減少攻擊面,通過訪問策略,嚴格控制敏感資產訪問來源。同時,在發現其他企業遭到攻擊時,需要快速自查企業自身是否有受到相同攻擊的軟硬件,或咨詢專業的第三方公司進行快速處理。
03美國佛羅里達州水處理系統攻擊:增強企業訪問權限管理
2021年2月,美國佛羅里達州奧茲馬市一家水處理設施的系統被攻擊,攻擊者試圖改變控制水酸度的 NaOH 堿液濃度,并在準備將堿液濃度提高到111倍時被發現。之所以會在供水中添加少量NaOH堿液,主要是防止管道腐蝕同時提升PH值,但人接觸到該堿液會導致嚴重的皮膚灼傷并傷害眼睛。所幸的是,攻擊并未真正造成真正的損害,且及時進行了逆轉。
據分析,攻擊者主要可能使用了被盜的憑證,從而遠程登錄系統,獲得了水處理設施操作員的系統訪問權限。這次事件也再次暴露了關鍵基礎設施在網絡攻擊面前的脆弱性,攻擊者可以輕松闖入飲水設施的監控及數據采集系統。事件發生后,有媒體還了解到該機構將其遠程訪問密碼發布在了公開可用的文檔中。
經驗教訓
對于此次事件,既要對關鍵基礎設施運營商在環境中使用的桌面共享軟件及快過時的軟件(比如 7)及時更新,同時對于企業重要的內部系統,有必要通過多因子認證(MFA)進行訪問權限保護,盡量限制遠程訪問對此類非常重要系統的訪問,或者嚴格管控遠程訪問的IP地址、通信類型等要求。
04微軟 攻擊:保護舊有系統2021年3月,本地安裝的服務器遭到零日漏洞攻擊。微軟官方最初評估該攻擊屬于小范圍針對性攻擊,然而實際卻發現攻擊范圍比想象中要廣得多,涉及數十萬臺未打補丁的服務器。更不幸的是,微軟發現許多的郵件服務器補丁已經嚴重過時,很難快速更新。于是其不得不為舊平臺準備補丁,從而確保用戶的安全。當時,FBI甚至主動去清理并修補那些一直未受保護的服務器。
經驗教訓
歷來都是非常吸引攻擊者的攻擊媒介。對于企業而言,需要保證對所有舊服務器的實時保護,尤其是本地的服務器,這些更可能成為目標。對于這些舊有系統,企業需要分配適當的資源進行維護。無論是通過電子郵件進入的釣魚郵件攻擊,還是因為服務器打補丁難度較大產生的安全風險考慮,郵件都會是攻擊者選擇進入網絡非常關鍵的入口。
勒索軟件:阻止RPC及SMB通信2021年5月,針對美國管道運營商 的勒索軟件攻擊引發全世界關注。該攻擊使得運營商首次關閉了其5500英里的運營管道,導致數百萬加侖(1加侖≈3.7854升)燃料運輸中斷,并引發了美國東海岸大部分地區短時天然氣短缺。就在事件發生后幾天,美國發布了行政命令,要求聯邦機構實施新的控制措施,來加強網絡安全。此次攻擊后續被認為是總部位于俄羅斯的組織所為,其利用被盜的舊的VPN憑證,取得了對 網絡的訪問權限。不出意外,勒索軟件依舊會是2022年的主要安全風險。目前,針對勒索軟件攻擊,部分國家、網絡保險企業都推出了相關的政策及指導。
經驗教訓
建議企業利用本地及網絡防火墻來阻斷RPC以及SMB通信,限制橫向移動一類的攻擊活動。打開防篡改功能,防止攻擊者停止安全服務,并且強制執行高強度、隨機的本地管理員密碼,建議可以使用LAPS(本地管理員密碼解決方案),確保能夠使用隨機密碼。
另外,建議對安全事件日志清除進行監控。在發生此類情況時,會生成安全事件,之后則需要確保面向網絡的資產更到最新。對于可疑活動還需進行資產定期審計windows無法打開添加打印機 本地打印后臺處理程序,最終確認高特權賬戶的登錄以及公開憑證的位置,監控并調查登錄事件(事件)的登錄類型屬性,高特權賬戶不應存在于工作站之上。
06零日漏洞攻擊:確保打印機更新2021年年中,攻擊者利用名為“”的零日漏洞,可在補丁完善的 Print 設備上獲得完整的遠程代碼執行能力。對于網絡管理員來說,這個漏洞簡直就是打印機管理的噩夢。由于打印后臺處理程序軟件屬于NT時代的代碼,許多人希望微軟能夠完全重寫該代碼,但這樣做會對第三方打印供應商造成重大影響。
2021年7月,微軟發布了漏洞的帶外更新,不過到去年12月仍舊余痛未消。相關企業仍在跟蹤微軟發布的與打印機后臺處理程序相關的多個補丁的影響。去年12月底發布的可選更新中包含了對幾個打印相關問題的修復,主要修復的是打印客戶端連接到打印服務器上共享的遠程打印機時可能遇到的幾個錯誤問題。
經驗教訓
如果可能,建議企業在更新前安排適當資源進行測試。可利用第三方資源,例如或的論壇,監控可能產生的負面影響或是及時調整。另外,在不需要打印的服務器和工作站上,應該禁用打印后臺處理程序服務,并且只在必須啟用打印的設備和服務器上運行。
供應鏈攻擊:安全防護左移2021年7月發生在IT管理軟件供應商身上的攻擊事件,再次凸顯了IT供應鏈中的軟件供應商安全的重要性。該事件后續被歸因為REvil/勒索軟件團伙的一個分支所為,攻擊者利用了的虛擬系統管理員 (VSA) 技術中的三個漏洞,由于許多托管服務提供商 (MSPs) 都會使用這種技術來管理其客戶網絡,因此導致攻擊者在托管服務提供商下游客戶的數千個系統上分發勒索軟件攻擊。根據 Labs對泄露事件的調查發現,在進行初始利用活動后,攻擊者用了不到兩小時的時間,在多個提供商服務的眾多企業的系統上安裝了勒索軟件。
經驗教訓
勒索事件同樣代表了2021年來的一個重要攻擊趨勢。為擴大對下游受害者的利用范圍,攻擊者不斷攻擊上游技術資產及提供商,包括開源庫、IDE(集成開發環境)、及事件中出現的MSPs等。為此,企業有必要考慮進行安全左移,在開發周期、網絡策略、最佳實踐等方面進行提前介入。針對不斷出現的零日漏洞,除了快速響應,企業還需了解自有供應商的安全程度,并且保證軟件盡快更新。
08震驚業界的Log4j漏洞:軟件及時更新,加強企業資產管理
2021年年末,Log4j日志框架中一個嚴重的遠程代碼執行漏洞,在整個行業掀起了滔天巨浪,堪稱近十年來都極為罕見的漏洞。該漏洞 ( CVE-2021-44228 ) 存在于 Log4j 2.0-beta9 到 Log4j 2.14.1 版本中,可以通過多種方式利用。最開始發布了一個該工具的最新版本( Log4j 2.15.0) ,因為無法完全阻止DDoS攻擊及數據盜竊,隨后又發布了另外一個更新。截止到2021年12月17日,暫時沒有公開報道的與該漏洞有關的重大數據泄露。
經驗教訓
Log4j這款工具在企業、工控系統的OT網絡、SaaS產品、云服務提供商環境中都廣泛使用,更為關鍵的是它非常易于利用,被大量商業產品、應用及各種開源組件嵌套使用。這次Log4j漏洞,可以看成一次典型的供應鏈攻擊。對于企業而言,在利用其它供應商產品時,需要及時更新補丁,或者采取自動更新的方式。其次,企業需針對自身的資產暴露面實時管理,才能在漏洞出現時,快速進行資產清點及響應修復。最后,如果需要了解詳細Log4j漏洞處置方法或后續修復,歡迎聯系微步在線安全服務團隊。
2021年,你印象最深刻的安全事件是哪一次,歡迎留言分享。最后也希望大家都能從過去這一年別人摔倒的地方得到一些啟發,避免企業自身在同樣的地方跌倒,新的一年更安全。
參考來源://微步情報局
安全公開課
微步安全學院第3期 -內存馬檢測專題直播將于2022/1/6 19:10開播,觀看本期直播,可搶先體驗河馬內存馬專殺工具!
· END ·
點擊下方名片,關注我們覺得內容不錯,就點下“贊”和“在看”如果不想錯過新的內容推送,可以設為星標
哦