一�����、Twitter史上最嚴重安全事件真相浮出水面
之前Twitter的大規模賬號入侵事件無疑是目前為止受到最廣泛關注的一起安全事件����。
回望剛剛過去不到一周的這起事件:7月15日,包括美國前總統奧巴馬�、亞馬遜CEO貝佐斯�����、微軟創始人比爾·蓋茨,以及巴菲特��、馬斯克等人在內的大量 Twitter 意見領袖賬號被盜,突然集體發送比特幣釣魚推文,誘導粉絲向黑客的比特幣錢包轉賬����。目前為止,攻擊者BTC賬戶已經收到12.865個比特幣,約合80多萬元,并且幾乎已經全部轉出��。
釣魚的手法和文案非常直白:誘騙粉絲轉賬并承諾雙倍奉還�����。之所以這么多人上鉤,背后自然是各路大V賬號的信用背書�。接下來,讓我們聚焦事件的關鍵,這些賬號是如何集體被盜的��。
案發后不久,Twitter Support賬號滾動消息稱:初步判定內部工具被惡意利用了���。很多人由此會有產生疑問,Twitter員工居然可以直接使用任何用戶身份發送推文?
7月18日,Twitter公布了本次大規模賬號入侵事件的更多細節和初步調查結論,揭開了這起嚴重事件真相面紗的一角��。我們可以獲取攻擊者作案的關鍵手法:
顯然這并不是一個單純的外網業務安全漏洞,而是一場針對性的黑客攻擊����。攻擊者使用社會工程學定向瞄準了多個特定的Twitter員工,這意味著攻擊者可以竊取這一小批 Twitter 員工的身份憑據(身份憑據是指如:賬號密碼���、Cookie���、AccessToken��、SecretKey等數據),從而以合法員工身份操作 Twitter 內部的關鍵系統,并且調用了只有 Twitter 內部支持部門才有權限使用的內部工具,訪問了130個Twitter賬號的信息�。攻擊者利用內部工具重置了其中至少45個賬號的密碼,登陸到目標賬號發送釣魚推文,完成攻擊目標���。
調查仍在繼續,從目前的攻擊手法看,這必然可以定性為一起APT攻擊事件����。在這起事件里,我們有理由相信攻擊者已經潛伏了不短的一段時間,這也是一條很典型的盜用合法身份��、操作內部工具達成入侵目的的攻擊路徑�。
作為同樣知名的大型互聯網公司,騰訊會面臨這樣的安全風險嗎?答案是肯定的,擁有著巨大的數字資產,騰訊在現實世界中一直是多方黑客覬覦的目標�。攻擊者無時無刻不在對騰訊進行掃描和滲透,想方設法進行入侵,其中不乏有與這次Twitter事件一樣的APT高級攻擊者�����。
未知攻焉知防,「騰訊藍軍」其實早在公司內部的多次紅藍對抗網絡安全攻防演習中已使用過類似的攻擊手法,模擬黑客的APT攻擊手法核心業務,并達成攻擊目標�。信息安全行業中通過模擬真實的攻擊手法來檢驗業務系統安全性�����、專業從事攻擊的安全團隊叫做 Red Team,國內稱為“藍軍”���。
二��、如果你是黑客,你會怎樣實施APT攻擊
居安思危,換位思考,如果你是黑客,你會怎樣實施APT攻擊?這也是騰訊藍軍一直思考的問題��。
我們一般將入侵行為分為兩種,一種是非針對性的擇弱入侵,比如挖礦����、垃圾郵件�、DDoS等等�。它們的特點是批量和自動化,獲利模式通常是基于控制大量肉雞來構建僵尸網絡�����。另一種入侵行為是定向APT攻擊��。
APT攻擊的全稱是高級持續性威脅(Advanced Persistent Threat),與一般“擇弱入侵”不同的是,APT定向攻擊的特點,決定了這是一種不顧強弱的針對性攻擊,在攻擊之前黑客一定會大量收集攻擊目標的基本信息�����、制定攻擊策略����。Twitter案例中的“攻擊目標特定員工”也是APT中常見的攻擊入口之一����。除此之外還有諸如物理入侵�����、供應鏈攻擊��、攻擊線上業務等等,真實世界攻擊入口之多可能遠超你的想象��。
1. 線上資產
線上資產是首當其沖會遭受黑客攻擊的目標之一�。業務網站的嚴重漏洞,可能直接導致黑客入侵獲取服務器權限,進而入侵內網��。
2. 辦公環境
辦公環境的自助終端機��、無人值守未鎖屏的PC��、投放帶病毒的U盤����、WiFi網絡等等都可能是辦公環境的攻擊入口,攻擊者可以進一步獲取員工PC控制權或者辦公內網的訪問權限�。
3. 組織人員
人員是信息系統中最薄弱的環節,大部分的安全問題都是由于人員的疏忽或者失誤導致的����。通過對目標人員進行釣魚����、社工以及投放木馬,定向獲取關鍵人員的合法賬號或者PC的控制權,進而利用其身份進入目標企業內網��。甚至可能攻擊目標人員的私人電腦����、家庭WiFi�、常去的咖啡廳等等防護較為薄弱的環節,進而竊取人員的敏感憑據����。
4. 合作方
目標企業與其合作方之間往往有很多緊密的合作項目,網絡連通權限或者訪問權限都比外網要高,搞定合作方之后再向目標企業的核心業務滲透,通常比較可行�。
5. 供應鏈
顧名思義,就是先向供應鏈中的產品投毒,來間接攻擊目標��。比如攻擊常見的軟件倉庫�����、開源軟件���、軟件安裝包�����、下載站點�、服務供應商等等,進而在這些供應鏈上游產品上捆綁木馬,入侵目標企業內部�����。
攻擊者突破外網邊界,獲取訪問企業內網的入口之后,攻擊活動其實才剛剛啟動��。穩住落腳點,攻擊者開始了漫長的通往核心業務數據的道路,在攻擊者面前展開的內網就像是一片充滿戰爭迷霧的森林����。對于超大型企業來說,內網有幾十萬甚至上百萬服務器,業務核心數據存放在哪里,如何抵達核心區域,又如何去操作數據?這是攻擊者需要解決的核心問題�。逐個攻擊內網服務器無異于大海撈針,那如何快速達成攻擊目標,竊取核心業務數據��、甚至操作企業資金呢?
三�����、數據保護
每次安全演習過程中,作為攻擊方,藍軍都需要解答這個問題���。
騰訊藍軍從2006年組建至今,陸續聯合公司內各業務團隊開展滲透測試,包括各類重要業務,發現并消除了大量潛在安全風險��。從2008年以來,隨著公司洋蔥反入侵系統的上線,藍軍開始持續進行紅藍對抗演練,模擬黑客進行攻擊,防患于未然�����。
2019年,騰訊藍軍特別聯合公司「數據保護項目」開展了利劍專項,通過安全演習反向驗證業務安全性,為核心業務把脈,提供全方位安全保障����。隨著多年來的輪番演習和加固,可以看到核心業務的安全水平是不斷提高的,攻擊的成本和門檻也不斷提升�����。
回到前文的問題,那如何快速達成操縱核心業務數據的攻擊目標?攻擊者需要找到內網中關鍵的“燈塔”����。這些“燈塔”可以是關鍵的人員�����、也可以是關鍵的應用系統,比如內網的集權系統,域控�����、郵箱服務器���、代碼倉庫�����、運維系統���、運營系統,或者離用戶數據或資產非常近的客服系統�����、財務系統等等�。
大型企業內網涉及到復雜的網絡區域劃分��、業務架構和底層協議交互,在內網攻擊過程中瞄準業務正常操作流程中的關鍵應用系統顯然可以起到事半功倍的效果�����??v觀歷年來眾多內網安全演習,早期我們也嘗試過直接掃描和爆破核心數據庫,甚至通過修改某些數據庫中的余額字段達到給自己“充錢”的演習目標����。隨著攻防對抗的遞進,這條路已經重兵把守,攻擊成本非常高,任何大動作的掃描都會引起安全系統或者業務監控數據上的告警,導致攻擊行為暴露�。于是攻擊路徑逐漸轉向更加隱蔽的方式,這也是APT攻擊最典型的手法:冒用合法身份操作內部工具和平臺��。
類似于Twitter這次安全事件中涉及的“內部工具”中的重置密碼���、修改用戶信息等功能其實是屬于業務底層的最基本邏輯,是給用戶提供對應服務的��。當然這些工具并不能隨便調用,只有極少數核心人員或者通過對應的內部系統才有權限操作,并且也需要層層審批和審計�。
所以這些業務系統和工具的安全性就至關重要了���。
四�、核心業務數據安全風險如何防護
內外網業務系統的安全防護離不開業務同事的共同參與,而公司內「數據保護項目」為大家提供了具體的數據安全指標和參考規范��。依據騰訊藍軍多年來對公司內部和外部公司的各種安全演習對抗的實戰經驗,從攻擊者視角看,內網各個核心業務的風險路徑之間存在大量的共性����。如何提升核心業務的安全水平?我們可以從以下幾個方面規避風險:
1. 消除敏感信息泄露
信息搜集是攻擊過程中非常重要的一個環節,內網各種系統上的信息可能會泄露各種敏感信息,包括賬號密碼����、文檔�、代碼等等�。這些信息往往會打開攻擊者通往關鍵系統的突破口�。
2. 高危服務與組件的鑒權和管控
高危服務和組件在內網如果未加鑒權和管控,可能直接被利用獲取服務器控制權���。比如:Docker API���、Redis��、各種語言調試端口等等�����。
3. 增強網絡隔離策略
嚴格的網絡訪問控制和隔離措施,可以有效增加攻擊者接近核心數據的難度�����。
4. 嚴格的權限控制與審計
安全一個很重要的概念就是要分級管理,在大量的內網網站中,對于一些敏感網站,需要進行登錄態隔離,而對敏感操作,比如涉及到資金���、用戶數據相關的,必須增加審批流程和二次校驗��。
安全是一個長期的工作,在互聯網生態高速發展的現在,個人信息和數據安全越來越受到重視,安全是大型互聯網公司所有業務的生命線�。反入侵更是基礎安全領域的重中之重,各大互聯網企業無時無刻不面臨著全球黑客甚至是國家隊的定向攻擊,一旦出現重大事件,對商業品牌會造成無法挽救的損失��。我相信安全藍軍和紅藍對抗的形式會繼續在曠日持久的安全戰場上發揮重要作用����。
看完上述內容,你們對Twitter是如何被黑客入侵有進一步的了解嗎?如果還想了解更多知識或者相關內容,請關注本站行業資訊頻道,感謝大家的支持����。
