公众号后台回复“IR2023”,你将收获一本应急宝典:《微步2023年应急响应年报》,内含多个真实应急故事。
12月24日,17:00,平安夜,但是不“平安”。某公司的老板老王火急火燎地找到了微步应急团队,老王公司服务器钱包里的余额不翼而飞,损失巨大,急得他唾沫星子狂飙,但是眼神闪躲,似乎有什么难言之隐。最终,老王挂掉了手机,躲进了自己的会议室,拉上了窗帘,然后回到了电脑屏幕前,接着远程和微步应急团队的小Q讨论。
“我们之前找了一个安全专家帮我们分析,他怀疑是内鬼,但是查半天都没什么头绪。你能帮我搞清楚到底怎么发生的吗?”老王瞥了一眼周围,确认没人之后,吐出了这句话:“这三个人都是我信任的,合伙人大壮,早年就出来一起搞事业,负责整体运维和安全开发,大壮的徒弟小美,现在负责安全运维监控;还有技术小帅,他负责所有的加密算法。我们服务器的钱包都是加密的,我不信这段时间赚的钱就这么凭空消失了。但是,你要说是他们三个中的任何一个,没有证据,我不相信,不能寒了兄弟们的心。”虽然小Q是第一次接老王公司的安全应急业务,但是按照小Q从业多年的经验,整起事件不太像内鬼干的,在职内鬼单独盗窃加密的钱包这件事被发现的风险太高了,顶多是内外合谋。不过,小Q没有轻易给出结论,当务之急是搞清楚事情的来龙去脉。按照老王的说法,这笔钱是先存在一个过渡钱包里,第二天要转到老王的账户中的,但是攻击者巧妙地在中间干了一票,把钱直接偷走,钱包余额的存取和提取都需要专门的账户、密钥,而且老王公司上了安全监控系统,如果有人攻击,怎么着也会预警。小Q先排除了大壮的嫌疑,因为经过了解,大壮压根不懂加密算法,也没负责算法的开发。而老王,又提供了一个线索:小帅原本一直兢兢业业地996,最近总是到了点就走,其他人都还在加班,也不打招呼,还时不时对着手机勾起笑容,但有人路过工位时马上就正襟危坐。12月24日被攻击的当天,老王把全公司留下配合调查,小帅一直坐立难安,难道是心虚?
然而,随着调查深入,小Q发现,三位同学本地和系统操作日志都正常,也没有被植入什么木马。内向的小帅只不过刚刚谈起了恋爱,因此无心加班。24号刚好是“不平安”的平安夜,陪女朋友的计划泡汤,才在公司如坐针毡。25日上午8:00左右,微步应急团队的同事赶到了老王公司所在地,开始给受灾终端部署微步终端安全管理平台OneSEC,OneSEC可以在木马和后门在掩藏自己的踪迹下,依然能够发现对方潜藏的踪迹。没错,小Q凭借丰富的应急经验怀疑,老王公司的钱被偷走只是灾难的开始,攻击者应该还在老王公司留下了什么。微步应急团队的专家驻扎现场,也让老王绷紧的心稍微定了定,通过现场沟通,老王又给应急团队开放了一些调查权限。通过对现场终端和移动设备的排查,基本排除了内部人参与的嫌疑。这意味着,小Q等人要开辟第二战场:排查外部攻击者。25日上午10:07,小Q又获得了一个重要权限,检查老王公司在某云平台的用户后台。不查不知道,一查吓一跳,在攻击时段中,该云平台的安全监测日志中曾有一则异常登录告警,但是这起告警竟被负责安全运维监控的小美标注为“代理OK”。
图 | 云平台的安全监测日志告警备注
“业务关系嘛,经常需要使用代理IP,这起报警中的IP登录地就是我们A地的办公地址,我就没有多想。”小美说。可是,直觉告诉小Q,不对,一定有什么线索被掩盖了,于是他仔细研究起了这则告警以及相关行为日志。日志显示,有人使用密钥登录后,新建了一个用户,并添加了数据库访问白名单,然后使用批量下发方式下发了远控木马。这个人新建了用户,而没有顶掉原有用户,说明有一定隐藏意识,而下发恶意代码的动作,说明攻击者至少在老王公司有长期潜伏的准备,以防云平台这扇“门”被发现,攻击者还在老王公司安装了其他后门!
时间已经到了12:40,顾不上吃午饭,通过问询,小Q发现,老王公司通过Nacos管理着云平台后台。Nacos作为一款开源的动态服务发现、配置管理及服务管理平台,常用于协助开发人员满足微服务架构中的服务注册、配置管理及服务发现等需求,它具备注册中心、配置中心和服务管理等功能。2022年底,微步漏洞团队曾发布过一则漏洞通告,提醒大家关注Nacos服务管理平台认证绕过漏洞。Nacos服务管理平台存在默认密钥,在用户开启认证但默认配置中token.secret.key未修改的情况下,攻击者可以通过构造用户token绕过Nacos认证,最终导致Nacos后台被登入,但这个漏洞一直被官方忽略,被认为是一个低危漏洞。官方只描述了如何开启鉴权,以及不开启鉴权的后果,但未说明需要替换JWT令牌密钥,导致大量Nacos用户只开启了认证,但没有修改默认密钥,大量Nacos系统存在被入侵风险。直到2023年3月,官方才在指导文章中添加了专门的提示内容。
图 | 当前Nacos官方文档说明,已添加默认密码需要修改的提示小Q和同事调查发现,攻击者就是通过上面这个看上去默默无闻的Nacos默认配置未授权访问漏洞获取到Nacos配置中存储的该云平台的Access key(密钥)。不得不说,攻击操作行云流水,小Q通过追溯攻击者转移账户的线索发现,攻击者在12月24日下午1:00发起了攻击,3个小时内顺利偷走了钱包余额,看来早有预谋。最令人吃惊的是,12月27日上午10点,攻击者以改头换面的形式,试图通过掩藏痕迹的后门第二次入侵老王公司,结果迅速被OneSEC发现和拦截。攻击者再干一票的阴谋被阻止……
小Q回溯整场攻击时,笃定的对老王说,这个攻击者一定是个熟手,技术不算高超,但是有备而来,而且在云平台搞完骚操作后,还打扫了一遍战场,清除了自己的痕迹。对了,攻击者还特地在登录钱包时使用了老王公司A地的IP地址,试图掩藏身份。梳理清楚整体攻击逻辑后,微步应急团队给老王公司出具了整体的修复建议,并帮助大壮回溯和完善了应急流程。老王公司第一笔丢失的钱肯定要不回来了,但是整场应急让他们发现了残留在公司里的“余孽”(后门),避免了进一步损失。小美则追悔莫及,要是在发现安全告警时,仔细排查,没有标注“ok”就好了……事实上,这个故事还暴露了一个安全运营中忽视的关键问题,你知道是什么吗?文中已有线索,欢迎留言讨论;或者公众号后台回复“IR2023”,获取应急宝典——微步《2023年应急响应年报》(内含多个真实应急故事),找到答案。
还没有评论,来说两句吧...