2021年網(wǎng)絡(luò)安全事件中的經(jīng)驗(yàn)教訓(xùn)

段鐵興

雖然SolarWinds軟件供應(yīng)鏈攻擊事件已經(jīng)過去一年，但我們?nèi)栽谂Τ浞至私獯祟惞舻臐撛谄茐男?。在此事件中，攻擊者是十分隱秘的，最終被發(fā)現(xiàn)也只是因?yàn)槭苡绊懙墓局籉ireEye具有監(jiān)控和檢測(cè)入侵的超凡能力。

了解供應(yīng)商的安全狀況很有必要

你也許想過：面對(duì)這種情況，我的公司是否有工具和資源來了解此類攻擊是否正在發(fā)生？對(duì)此，本人的猜測(cè)是，你不僅不會(huì)意識(shí)到存在入侵行為，甚至你們中的許多人并不具備這么做的能力和資源。根據(jù)微軟的說法，攻擊者能夠“偽造SAML令牌來模擬組織的任何現(xiàn)有用戶和帳戶，包括高特權(quán)帳戶。

這件事情為我們敲響了警鐘：讓我們重新考慮所裝軟件的來源，以及重新審視對(duì)供應(yīng)商及其安全流程的信任度，更不用說我們自己的安全流程了。

經(jīng)驗(yàn)教訓(xùn)：與您的軟件供應(yīng)商一起審查他們的安全流程。尋找異常行為，尤其是在高特權(quán)帳戶中，查看將憑據(jù)添加到可以執(zhí)行諸如mail.read或mail.readwrite之類的操作的進(jìn)程。此外，還需要阻止網(wǎng)絡(luò)外圍防火墻中的已知C2端點(diǎn)。

Exchange Server攻擊：保護(hù)遺留系統(tǒng)

2021年3月，又發(fā)生了一次極具破壞性的攻擊———攻擊者使用零日漏洞直接攻擊本地安裝的Exchange服務(wù)器。微軟最初表示這些攻擊是有針對(duì)性的，但后來發(fā)現(xiàn)這些攻擊更為廣泛。微軟還發(fā)現(xiàn)許多郵件服務(wù)器嚴(yán)重過時(shí)，很難讓它們實(shí)現(xiàn)快速更新，微軟必須為這些遺留平臺(tái)準(zhǔn)備補(bǔ)丁，才能確?？蛻舭踩?。

2021年4月，美國(guó)司法部還針對(duì)此事宣布了一項(xiàng)法院授權(quán)的行動(dòng)，該行動(dòng)將授權(quán)FBI從美國(guó)數(shù)百臺(tái)用于提供企業(yè)級(jí)電子郵件服務(wù)的Microsoft Exchange服務(wù)器中，先收集大量被攻陷的服務(wù)器，再將這些服務(wù)器上的WebShell進(jìn)行拷貝，然后再刪除服務(wù)器上的惡意WebShell。

經(jīng)驗(yàn)教訓(xùn)：確保任何遺留服務(wù)器都受到保護(hù)。特別是本地Exchange服務(wù)器，它們更易成為目標(biāo)。確保分配適當(dāng)?shù)馁Y源來修補(bǔ)這些遺留系統(tǒng)。電子郵件是網(wǎng)絡(luò)的關(guān)鍵“入口點(diǎn)”，一方面是攻擊者可以通過電子郵件實(shí)施網(wǎng)絡(luò)釣魚攻擊，另一方面是攻擊者了解修補(bǔ)這些遺留服務(wù)器的難度。

此外，不要完全依賴供應(yīng)商提供的威脅和風(fēng)險(xiǎn)評(píng)估。微軟最初表示，這些攻擊是有限的和有針對(duì)性的，但實(shí)際上它們的范圍要廣得多，甚至?xí)绊懙叫」尽?/p>

PrintNightmare：保持打印機(jī)更新

2021年7月，Microsoft針對(duì)名為PrintNightmare的漏洞發(fā)布了帶外更新。根據(jù)微軟安全公告稱：“當(dāng)Windows Print Spooler服務(wù)不正確地執(zhí)行提權(quán)文件操作時(shí)會(huì)觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。成功利用該漏洞的攻擊者可以系統(tǒng)權(quán)限運(yùn)行任意代碼，安裝程序；查看、更改或刪除數(shù)據(jù)；或以完整的用戶權(quán)限創(chuàng)建新賬戶?！?/p>

對(duì)于網(wǎng)絡(luò)管理員來說，PrintNightmare已經(jīng)變成了打印管理的噩夢(mèng)。Print Spooler軟件是老舊的NT時(shí)代代碼，許多人曾敦促微軟完全重寫，但這會(huì)對(duì)第三方打印供應(yīng)商造成重大破壞。雖說疫情大流行已經(jīng)將我們從面對(duì)面打印過渡到遠(yuǎn)程打印流程，但即便是PDF打印機(jī)也需要依賴Print Spooler來部署和打印為PDF。

時(shí)至今日，安全研究人員仍在追蹤當(dāng)時(shí)發(fā)布的多個(gè)Print Spooler相關(guān)補(bǔ)丁的后續(xù)影響。2021年12月底發(fā)布的可選更新中包含對(duì)幾個(gè)打印相關(guān)問題的修復(fù)。它修復(fù)了當(dāng)連接到Windows打印服務(wù)器上共享的遠(yuǎn)程打印機(jī)時(shí)，Windows打印客戶端可能會(huì)遇到的一些錯(cuò)誤問題：

0x000006e4（RPC_S_CANNOT_SUPPORT）

0x0000007c（ERROR_INVALID_LEVEL）

0x00000709（ERROR_INVALID_PRINTER_NAME）

不過，考慮到這些更新的破壞性副作用，一些網(wǎng)絡(luò)管理員選擇不打補(bǔ)丁。

經(jīng)驗(yàn)教訓(xùn)：即使在疫情大流行中，我們?nèi)匀恍枰蛴》?wù)。每當(dāng)更新包含針對(duì)print spooler服務(wù)的修復(fù)程序時(shí)，必須在更新之前分配適當(dāng)?shù)馁Y源進(jìn)行測(cè)試。

可以使用PatchManagement.org或reddit上的Sysadmin論壇等第三方資源，來監(jiān)控需要實(shí)施的解決方案，而不是選擇讓您的公司完全不受保護(hù)。print spooler服務(wù)只需在必須啟用打印的設(shè)備和服務(wù)器上運(yùn)行，其他應(yīng)該禁用。

勒索軟件：阻止RPC和SMB通信

進(jìn)入2022年，勒索軟件仍將是主要網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。它現(xiàn)在已被納入網(wǎng)絡(luò)保險(xiǎn)政策，美國(guó)政府也已組織專家組為企業(yè)提供更多保護(hù)、信息和指導(dǎo)以應(yīng)對(duì)這種風(fēng)險(xiǎn)。

經(jīng)驗(yàn)教訓(xùn)：使用本地和網(wǎng)絡(luò)防火墻來阻止RPC和SMB通信，這將限制橫向移動(dòng)以及其他攻擊活動(dòng)。接下來，開啟防篡改功能，防止攻擊者停止安全服務(wù)。然后強(qiáng)制執(zhí)行強(qiáng)大、隨機(jī)的本地管理員密碼。此外，還建議使用本地管理員密碼解決方案（LAPS）來確保您擁有隨機(jī)密碼。

監(jiān)控事件日志的清除。具體來說，Windows會(huì)在發(fā)生這種情況時(shí)生成安全事件ID 1102。然后，需要確保面向Internet的資產(chǎn)擁有最新的安全更新。定期審計(jì)這些資產(chǎn)是否存在可疑活動(dòng)。最后，確定高特權(quán)帳戶的登錄情況以及處于暴露狀態(tài)的憑據(jù)，總之，工作站上不應(yīng)存在高特權(quán)帳戶。